Noord-Koreaanse hackers vormen een groeiende bedreiging voor EU-instituties en bedrijven in strategische sectoren, zegt strategisch analist Hans Horan van het Haags Centrum voor Strategische Studies, tegen BNR. Ook moet het Westen Noord-Korea anders benaderen. ‘We moeten ophouden Noord-Korea te zien als het kleine broertje van Beijing, we moeten Noord-Korea serieus nemen.’
Noord-Koreaanse (staats)hackers zijn niet alleen zeer actief en bedreven in het beroven van cryptobeurzen wereldwijd en het afpersen van bedrijven met ransomware, Noord-Korea houdt zich in toenemende mate bezig met spionage en het stelen van geheime informatie. Niet alleen van bedrijven, maar ook van ‘EU-entiteiten die betrokken zijn bij de defensie-, lucht- en ruimtevaart-, media-, gezondheids-, energie- en overheidsgerelateerde sectoren’.
In zijn artikel in The Diplomat wijst Horan op Threat Landscape 2025, het jaarlijkse rapport van het Europees Agentschap voor Cyberbeveiliging (ENISA) waarin Noord-Korea cyberinbraken door Noord-Korea aanmerkt als ‘de op twee na belangrijkste dreiging voor EU-leden’. Na Rusland en China, en boven Iran. Voor Horan onderstreept het ENISA-rapport de noodzaak om Noord-Korea op een andere manier te benaderen dan dat we tot nu toe gedaan hebben. ‘Noord-Korea is een zelfstandige actor die onafhankelijk van Beijing handelt en daarmee impact heeft op Europa.’
Blinde vlek
Van oudsher hebben Europese beleidsmakers een blinde vlek voor Noord-Korea. Het land en zijn leiders zijn altijd gezien als een politieke aberratie, als een veraf gelegen en exotisch kluizenaarsstaatje dat onder de paraplu van China opereert. Dat beeld is gaandeweg gekanteld nu Noord-Korea over ballistische raketten beschikt, zich een kernmacht kan noemen én aan Russische zijde deelneemt aan het grootste conflict op het Europese vasteland sinds de Tweede Wereldoorlog. Maar ook nu, waarschuwt Horan, heeft het Westen de neiging om de Noord-Koreaanse dreiging alleen in de context van de oorlog in Oekraïne te bezien.
‘Het gaat niet alleen meer over diefstal van cryptocurrency, maar ook over inlichtingenoperaties en het uitvoeren van spionage-operaties op Europese bedrijven en in strategische industrieën’, aldus Horan. De analist verdeelt de Noord-Koreaanse cyberoperaties in twee verschillende, maar soms elkaar overlappende categorieën: de financieel gemotiveerde campagnes en cyberspionagecampagnes. Waarbij uiteindelijk ook de tweede categorie een financiële component heeft, omdat het door internationale sancties getroffen regime in Pyongyang structureel in geldnood zit. En het heeft veel geld nodig, onder meer om Kim Jong-uns peperdure nucleaire ambities te realiseren.
Structurele geldnood
‘Noord-Korea blijft een land met een tekort aan contant geld’, aldus Horan. Volgens de analist is dit ondanks het feit dat het regime goedkope gastarbeid en militairen aan Rusland levert, en ondanks de export van wapens, materieel en munitie. De analist wijst op een rapport van crypto-analysebedrijf Chainalysis waaruit blijkt dat Noord-Koreaanse hackers in de eerste helft van 2025 voor meer dan 2,17 miljard dollar aan cryptocurrency hebben gestolen. ‘Dat is weliswaar veel, maar ze kunnen het niet direct gebruiken’, aldus Horan.
Want wordt dat geld eenmaal in grote hoeveelheden uit wallets opgenomen, dan wordt dat opgemerkt door de forensische onderzoekers die daar bovenop zitten en die blockchains volgen. ‘Noord-Korea moet daar heel slim mee omgaan. Ze kunnen het niet in één keer uit hun wallet zoals ze het in één keer gestolen hebben, daar zijn heel veel transacties voor nodig.’ En dat betekent dat dat stuwmeer aan gestolen cryptovaluta maar mondjesmaat de Noord-Koreaanse staatskas indruppelt. ‘Die hoeveelheid is nooit genoeg om de Noord-Koreaanse economie draaiende te houden.’
En dus wordt ook op andere manieren geld verdiend middels hacking, een praktijk die vleugels heeft gekregen tijdens de Covid-pandemie en de als gevolg daarvan normalisering van het telewerken. Veel Noord-Koreaanse IT-werkers hebben zich online toegang weten te verschaffen tot westerse bedrijven, instellingen en infrastructuren – en niet alleen omdat ze hun identiteit verborgen hielden, maar ook omdat de getroffen instellingen de ‘online hygiëne’ niet goed op orde hadden.
Risicovolle transitie en expansie defensiesector
In het kader daarvan waarschuwt Horan voor de huidige transitie van de Europese defensie-industrie en -infrastructuur, de daaraan inherente noodzakelijke uitbreiding van IT-activiteiten en -infrastructuur en de daaraan inherente risico’s. Volgens Horan zal alle activiteit op defensiegebied niet alleen een toename van IT-gerelateerd personeel noodzakelijk maken, maar zullen Noord-Koreaanse hackgroepen, zoals Lazarus, ‘waarschijnlijk misbruik maken van de snelle chaotische expansie om toegang te krijgen tot kritieke defensie-infrastructuur’.
Horan verwijst naar een rapport van de Threat Intelligence Group (GTIG) van Google over het gebruik door Noord-Korea van valse IT-werknemers om Europese bedrijven aan te vallen. Hierin beweerde GTIG dat ten minste twaalf door Noord-Korea aangestuurde personen actief op zoek waren naar werk bij verschillende Europese defensie- en overheidsinstanties.
Wie toegang heeft tot kritieke defensie-infrastructuur is niet alleen in staat om zand in de machine te strooien, maar beschikt ook over zeer waardevolle strategische informatie. ‘We willen niet dat geopolitieke rivalen ons in de gaten kunnen houden. Het grootste gevaar bestaat eruit dat die informatie wordt doorverkocht. Dat vormt naar mijn mening de grootste dreiging.’
Gevraagd of Noord-Korea informatie ‘op bestelling’ levert of dat Pyongyang zelf de boer opgaat met wat het illegaal bijeenhackt, zegt Horan dat het waarschijnlijk beide voorkomt. De analist wijst op de steeds nauwere banden tussen Pyongyang en Russische cybercriminele organisaties. Die op hun beurt weer een overlap kunnen hebben met het Kremlin. ‘Moskou heeft invloed’, zegt Horan daarover. Hij wijst erop dat tijdens het begin van de oorlog in Oekraïne het aantal cyberaanvallen op vitale Europese infrastructuur sterk toenam.
De cybercriminelen werken veelal vanaf Russisch grondgebied, Moskou beschermt ze en maakt ongetwijfeld gebruik van hun diensten of stuurt ze aan. Gevraagd waarom Pyongyang in zee gaat met dergelijke cybergangs, wijst Horan erop dat Noord-Korea niet over alle competenties beschikt om een ransomware-aanval succesvol uit te voeren. In sommige onderdelen zijn ze heel goed, voor andere delen van een dergelijke ‘hack-supply-chain’ hebben de Noord-Koreanen de Russen nodig.
Gevraagd wat het Westen concreet moet doen tegen Noord-Koreaanse chicanes of cyberhacks zegt Horan dat Europese instellingen en bedrijven allereerst hun online hygiëne op orde moeten hebben om te voorkomen dat ze bijvoorbeeld een Noord-Koreaanse IT’er in dienst nemen of gemakkelijk te infiltreren zijn. En last but not least: ‘We moeten Noord-Korea serieus nemen als een geopolitieke dreiging richting Europa, dat is het belangrijkste. We moeten ze counteren om te voorkomen dat we een doelwit worden en ze niet zien als een jonge broer van of onderhorig aan China. Noord-Korea is een zelfstandige actor die best wat kan doen tegen Europa en Nederland.’
Experts
Related Content
