Dutch IT Leaders Logo mobile
Search icon
HR | Talent | Diversity Future of Business Technology Culture & Leadership Sustainability | Green IT
Wouter Hoeffnagel - 27 april 2025

Gebruik van Russische digitale infrastructuur populair onder Noord-Koreaanse cybercriminelen

Noord-Koreaanse cybercriminelen maken veelvuldig gebruik van Russische digitale infrastructuur voor het uitvoeren van hun activiteiten. Denk daarbij aan het stelen van gegevens, het verspreiden van malware en ransomware of het leegroven van cryptocurrency-wallets.

Security
Gebruik van Russische digitale infrastructuur populair onder Noord-Koreaanse cybercriminelen image

Dit blijkt uit onderzoek van Trend Micro. Internettoegang is schaars in Noord-Korea; hun nationale netwerk telt slechts 1.024 IP-adressen. Maar de rol van het land in cybercriminaliteit is aanzienlijk. Meerdere spraakmakende campagnes werden door internationale instanties toegeschreven aan Noord-Koreaanse cybercriminelen, waaronder de Bybit-hack. Om hun cybercriminele activiteiten op te schalen tot de omvang die aan Noord-Korea wordt toegeschreven, zijn er uiteraard veel meer internetbronnen nodig dan die 1.024 IP-adressen.

Om campagnes die zijn gekoppeld aan Noord-Korea te verbergen, worden grootschalige anonimiseringsnetwerken gebruikt. Deze anonimiseringslagen verbergen de oorsprong van kwaadaardig verkeer en maken attributie moeilijker. Het onderzoeksteam van Trend Micro heeft ontdekt dat lagere niveaus van anonimiseringslagen IP-adressen in Rusland zijn. Oftewel, belangrijke Noord-Koreaanse offensieve cyberactiviteiten worden uitgevoerd vanaf of via internetinfrastructuur in Rusland. Deze infrastructuur is sinds 2017 opgezet en sinds 2023 flink in omvang toegenomen.

Anonimiseringslagen

Na analyse van de anonimiseringslagen die gebruikt werden in aan Noord-Korea gelinkte campagnes, ontdekte Trend dat bepaalde Russische IP-adressen herhaaldelijk werden gebruikt in diepere, meer verborgen lagen. Deze Russische IP-adressen maakten regelmatig gebruik van Astrill VPN. Het is bekend dat verschillende campagnes die gelinkt zijn aan Noord-Korea sterk afhankelijk zijn van Astrill VPN om de oorsprong van hun aanvallen te verhullen.

Om het gebruik van Russische IP-adressen te verhullen, worden ook andere anonimiseringsmethoden gebruikt. Naast Astrill VPN is RDP opvallend gangbaar. Tientallen RDP VPS-servers worden benaderd vanaf de Russische IP-adressen.

Een opzettelijke samenwerking

Aangezien een aanzienlijk deel van de diepere lagen van het anonimiseringsnetwerk van Noord-Koreaanse cybercriminelen zich in Rusland bevindt, is het aannemelijk dat er sprake is van een opzettelijke samenwerking. Trend Micro houdt de ontwikkelingen goed in de gaten en zal blijven rapporteren over campagnes die via dit netwerk worden uitgezet.

Lees hier het volledige blog onder de bevindingen van het Trend Micro-onderzoeksteam, inclusief technische analyse.

DIC Security Day BW tm 1 juli 2025

Dutch IT events

Event icon

Event

SAIL 2025

Event icon

Event

Dutch IT Security Day

Alle events
DIC Security Day BN + BW tm 1 juli

Over Wouter Hoeffnagel

Wouter Hoeffnagel

Wouter Hoeffnagel is Manager Online content bij Dutch IT Media

Hij is expert op het gebied van ICT en schrijft hierover al jaren in de vorm van nieuwsberichten en inzichtelijke artikelen.