Een nieuw rapport dat op 23 oktober 2025 door het Multilateral Sanctions Monitoring Team (MSMT) is vrijgegeven, onthult dat hackers die banden hebben met Noord-Korea tussen januari 2024 en september 2025 ongeveer $2,84 miljard aan cryptocurrency hebben gestolen. Dat bedrag vertegenwoordigt volgens het rapport bijna een derde van de totale inkomsten van het land in vreemde valuta in 2024.
Hoewel de afhankelijkheid van Noord-Korea van cyberdiefstal goed gedocumenteerd is, onderstreept de omvang van de illegale inkomstenstroom die in het nieuwe rapport aan het licht komt, hoe centraal deze operaties zijn geworden voor de financiering van het regime.
Hoe de diefstallen werden uitgevoerd en toegeschreven
Het MSMT report legt uit dat het merendeel van de diefstallen werd uitgevoerd door Noord-Koreaanse hackteams zoals TraderTraitor en CryptoCore. Onder hun methoden belicht het rapport social engineering, cloud-inbraak en targeting van externe providers in plaats van directe aanvallen op grote beurzen. Eén operatie alleen al die aan TraderTraitor werd toegeschreven, leverde bijvoorbeeld naar verluidt vanaf begin 2024 ongeveer $2,58 miljard aan gestolen crypto-activa op.
Ondertussen merkt het rapport op dat Noord-Korea in 2023 zijn wapenexport en zakelijke transacties met een andere gesanctioneerde staat heeft verhoogd, waardoor het relatieve aandeel van van cybercriminaliteit afgeleide valuta is afgenomen.
Deze tactieken stellen Pyongyang in staat om zijn inname van vreemde valuta te verbeteren en tegelijkertijd de traditionele bank- en handelskanalen te omzeilen die door sancties worden geblokkeerd.
Waarom deze inkomsten belangrijk zijn voor het regime
Het feit dat cyberdiefstal nu goed is voor zo’n groot deel van de inkomsten van Noord-Korea in vreemde valuta, toont een grote verschuiving in de manier waarop het land zijn economie in stand houdt. Hoewel de export van mineralen, textiel en illegale goederen relevant blijft, geeft het rapport aan dat digitale diefstal een kanaal met een hoog rendement en een lager risico biedt om waarde in het door de staat gecontroleerde systeem te brengen.
Analisten merken op dat deze inkomstenstroom militaire prioriteiten ondersteunt, waaronder de nucleaire en raketprogramma’s van het regime. Het rapport stelt dat cyberaanvallen gericht op cryptocurrencies “een belangrijke inkomstenbron” zijn voor het regime.
Gezien het isolement van de formele economie van Noord-Korea en de zware sanctielast, vullen deze cyberoperaties het gat op dat is ontstaan door de geblokkeerde toegang tot wereldwijde financiën en handel.
Naarmate deze aan de staat gelieerde groepen hun reikwijdte en verfijning vergroten, moeten bedrijven die digitale activa, portefeuilles en blockchain-infrastructuur beheren, tegenstanders op natiestaatniveau aannemen. Omdat de aanvallers zich nu liever richten op diensten van derden, cloudproviders en applicatieleveranciers dan op grote beurzen, gaat het risico verder dan alleen grote platforms.
Verdedigers moeten strenge risicobeoordelingen van leveranciers uitvoeren, wallet-adresstromen controleren op ongebruikelijke activiteiten en realtime waarschuwingen bijhouden voor misbruik van inloggegevens of abnormale transactiepatronen. Omdat de gestolen activa vaak worden witgewassen in meerdere ketens en rechtsgebieden, vereist tracering gespecialiseerde blockchain-analyse en grensoverschrijdende coördinatie.
Regelgevers en wetshandhavingsteams moeten ook prioriteit geven aan het delen van financiële inlichtingen en onderzoeken hoe de opbrengsten van cyberdiefstal op contant geld gebaseerde systemen binnenkomen, waaronder over-the-counter brokers en regionale beurzen. Een gecoördineerde internationale inspanning blijft essentieel gezien het grensoverschrijdende karakter van het witwassen.
De grotere implicaties voor de wereldwijde veiligheid
Het blootleggen van deze diefstallen toont aan dat cybercriminaliteit nu een integraal onderdeel is van de manier waarop sommige staten zichzelf financieren. De afhankelijkheid van Noord-Korea van gestolen digitale valuta onderstreept hoe de scheidslijn tussen criminele activiteiten en het genereren van inkomsten door de staat steeds vager wordt.
Als de trend zich voortzet, kunnen andere gesanctioneerde staten het gebruik van cyberoperaties voor inkomsten uitbreiden, waardoor het ecosysteem van digitale activa een cruciaal front wordt in economische oorlogsvoering en het ontwijken van sancties. Wereldwijde beleidsmakers, niet alleen cryptobedrijven, moeten de strategische dimensie van deze bedreigingen erkennen.
De timing van het rapport is ook van belang. Naarmate cryptocurrencies meer mainstream worden geaccepteerd, neemt het vermogen van het regime om gestolen activa om te zetten in waarde toe, waardoor de inzet voor zowel verdedigers als regelgevers toeneemt.