Zuid-Korea verdenkt Noord-Korea gelieerde Lazarus van $36 miljoen Upbit-hack

De Zuid-Koreaanse autoriteiten die het multimiljoenendollarinbraak bij de lokale beurs Upbit onderzoeken, overwegen de Noord-Koreaans gelinkte Lazarus-groep als mogelijke bron, volgens een rapport van Yonhap.

Op donderdag kondigde Upbit, de grootste digitale assetbeurs van Zuid-Korea, opgeschorte stortingen en opnames na het detecteren van ongebruikelijke activiteit in de Solana-netwerktokens. De beurs bevestigde vervolgens dat zij het slachtoffer was geworden van een hack waarbij ongeautoriseerde opnames van ongeveer 54 miljard Koreaanse won (ongeveer $36–$37 miljoen) uit een hot wallet plaatsvonden. Deze hack markeert de tweede grote hot wallet-inbraak van de beurs in zes jaar tijd.

Zuid-Koreaanse autoriteiten vermoeden dat de hack van Upbit in 2025 het kapen of imiteren van beheerdersreferenties betrof, vergelijkbaar met de tactieken van de Lazarus-groep bij de inbreuk in 2019. Beveiligingsexperts merkten op dat er een hoge waarschijnlijkheid is dat Noord-Korea, dat kampt met tekorten aan vreemde valuta, de diefstal heeft georkestreerd, waarbij sommigen benadrukten hoe de gestolen fondsen werden witgewassen met behulp van mixtechnieken, een methode waarvan bekend is dat deze wordt gebruikt door Lazarus.

De dag van de hack – 27 november – viel samen met een belangrijke aankondiging van een bedrijfsfusie tussen het moederbedrijf van Upbit, Dunamu, en de Zuid-Koreaanse technologiegigant Naver. Dit heeft geleid tot speculaties over de betrokkenheid van Lazarus bij de hack.

‘Hackers hebben vaak een sterke drang om zich te laten zien,’ vertelde een beveiligingsexpert aan Yonhap, eraan toevoegend dat ‘het mogelijk is dat zij de 27e als datum voor de hack hebben gekozen omdat ze wilden opscheppen door de dag van de fusie te kiezen.’