Amsterdam, 24 april 2025 - Uit onderzoek van
Trend Micro blijkt dat Noord-Koreaanse cybercriminelen veelvuldig gebruikmaken van Russische digitale infrastructuur om hun activiteiten uit te voeren, zoals het stelen van gegevens, het verspreiden van malware en ransomware of het leegroven van cryptocurrency-wallets.
Toegang tot Russische digitale infrastructuur
Internettoegang is schaars in Noord-Korea, want hun nationale netwerk telt slechts 1.024 IP-adressen. Maar de rol van het land in cybercriminaliteit is aanzienlijk. Meerdere spraakmakende campagnes werden door internationale instanties toegeschreven aan Noord-Koreaanse cybercriminelen, waaronder de
Bybit-hack. Om hun cybercriminele activiteiten op te schalen tot de omvang die aan Noord-Korea wordt toegeschreven, zijn er uiteraard veel meer internetbronnen nodig dan die 1.024 IP-adressen.
Om campagnes die zijn gekoppeld aan Noord-Korea te verbergen, worden grootschalige anonimiseringsnetwerken gebruikt. Deze anonimiseringslagen verbergen de oorsprong van kwaadaardig verkeer en maken attributie moeilijker. Het onderzoeksteam van Trend Micro heeft ontdekt dat lagere niveaus van anonimiseringslagen IP-adressen in Rusland zijn. Oftewel, belangrijke Noord-Koreaanse offensieve cyberactiviteiten worden uitgevoerd vanaf of via internetinfrastructuur in Rusland. Deze infrastructuur is sinds 2017 opgezet en sinds 2023 flink in omvang toegenomen.
Anonimiseringslagen
Na analyse van de anonimiseringslagen die gebruikt werden in aan Noord-Korea gelinkte campagnes, ontdekte Trend dat bepaalde Russische IP-adressen herhaaldelijk werden gebruikt in diepere, meer verborgen lagen. Deze Russische IP-adressen maakten regelmatig gebruik van Astrill VPN. Het is bekend dat verschillende campagnes die gelinkt zijn aan Noord-Korea
sterk afhankelijk zijn van Astrill VPN om de oorsprong van hun aanvallen te verhullen.
Om het gebruik van Russische IP-adressen te verhullen, worden ook andere anonimiseringsmethoden gebruikt. Naast Astrill VPN is RDP opvallend gangbaar. Tientallen RDP VPS-servers worden benaderd vanaf de Russische IP-adressen.
Een opzettelijke samenwerking
Aangezien een aanzienlijk deel van de diepere lagen van het anonimiseringsnetwerk van Noord-Koreaanse cybercriminelen zich in Rusland bevindt, is het aannemelijk dat er sprake is van een opzettelijke samenwerking. Trend Micro houdt de ontwikkelingen goed in de gaten en zal blijven rapporteren over campagnes die via dit netwerk worden uitgezet.
Lees hier het volledige blog onder de bevindingen van het Trend Micro-onderzoeksteam, inclusief technische analyse.
Over Trend Micro
Trend Micro, wereldwijd leider op het gebied van cyberbeveiliging, helpt de wereld veiliger te maken voor het uitwisselen van digitale informatie. Op basis van tientallen jaren aan beveiligingsexpertise, onderzoek naar mondiale dreigingen en voortdurende innovatie beschermt het AI-aangedreven cyberbeveiligingsplatform van Trend Micro honderdduizenden organisaties en miljoenen individuen in clouds, netwerken, apparaten en endpoints. Als leider op het gebied van cloud- en enterprise-cyberbeveiliging biedt het platform van Trend een krachtige reeks geavanceerde technieken voor de verdediging tegen dreigingen. Het platform is geoptimaliseerd voor omgevingen als AWS, Microsoft en Google en biedt centrale zichtbaarheid voor betere, snellere detectie en respons. Met 7.000 medewerkers in 70 landen stelt Trend Micro organisaties in staat hun verbonden wereld te vereenvoudigen en beveiligen.
Voor meer informatie
Trend Micro
Ilona van Ginkel
E-mail:
ilona_van_ginkel@trendmicro.com
Whizpr
Paul Maris / Martine Korthals
E-mail:
trendmicro@whizpr.nl