De cybersecuritywereld wordt vaak in beslag genomen door een ‘doemscenario’: een geavanceerde, autonome AI die als een digitale grootmacht elke firewall kan omzeilen. Uit recent onderzoek blijkt echter dat er sprake is van een veel directere en praktischere dreiging. In plaats van ‘superhackers’ te creëren, fungeert generatieve AI als een krachtvermenigvuldiger voor middelmatige, ongeschoolde criminelen, waardoor ze zeer winstgevende en grootschalige operaties kunnen uitvoeren.
Een recent rapport van cyberbeveiligingsbedrijf Expel heeft een door de Noord-Koreaanse staat gesponsorde groep blootgelegd, genaamd “HexagonalRodent ”, die commerciële AI-tools gebruikte om in slechts drie maanden naar schatting $12 miljoen aan cryptocurrency te stelen.
De campagne “Vibe Coding”.
De HexagonalRodent-operatie werd niet bepaald door technische genialiteit, maar door het slimme gebruik van direct beschikbare AI-tools van bedrijven als OpenAI, Cursor en Anima. De groep richtte zich op een specifieke niche: ontwikkelaars die werkten aan kleinschalige Web3-, NFT- en cryptocurrency-projecten.
De hackers gebruikten een geavanceerde social engineering-tactiek:
1. Fake Recruitment: Ze gebruikten AI-webontwerptools om professioneel ogende websites te bouwen voor frauduleuze technologiebedrijven.
2. Phishing via “Tests”: Ze lokten slachtoffers met valse vacatures en vroegen hen uiteindelijk een “codeeropdracht” uit te voeren.
3. Malware-injectie: Deze opdrachten zijn geïnfecteerd met malware die inloggegevens steelt en is ontworpen om crypto-wallets te kapen.
“Deze operators hebben niet de vaardigheden om code te schrijven… AI stelt hen feitelijk in staat dingen te doen die ze anders gewoon niet zouden kunnen doen”, zegt Marcus Hutchins, de beveiligingsonderzoeker die de groep heeft ontdekt.
Digitale vingerafdrukken: emoji’s en Engels
Ondanks hun succes lieten de hackers onmiskenbare aanwijzingen achter dat hun werk door AI was gegenereerd. Beveiligingsonderzoekers merkten verschillende “tells” op in de malware:
– Code vol met emoji’s: De malware maakte veelvuldig gebruik van emoji’s, een veel voorkomende eigenaardigheid van Large Language Models (LLM’s) die professionele programmeurs zelden gebruiken bij handmatige codering.
– Onkarakteristieke annotaties: De code was zwaar geannoteerd met Engels commentaar, wat atypisch is voor Noord-Koreaanse operators, maar standaard voor door AI gegenereerde uitvoer.
– Standaardpatronen: Hoewel de malware voorspelbare patronen volgde die moderne beveiligingstools zouden moeten detecteren, omzeilden de hackers met succes de aandacht door zich te richten op individuele ontwikkelaars die niet beschikten over EDR-software (Endpoint Detection and Response) op bedrijfsniveau.
Een krachtvermenigvuldiger voor een “misdaadsyndicaat”
Deze ontdekking benadrukt een cruciale verschuiving in de manier waarop Noord-Korea cyberoorlogvoering voert. Het regime staat voor een structurele uitdaging: het beschikt over een enorme pool van laagopgeleide IT-medewerkers, maar een zeer beperkt aantal elite-hackers.
AI lost dit probleem op door de staat toe te staan zijn activiteiten op te schalen zonder zijn expertise te vergroten. In plaats van een volledig ontwikkelteam nodig te hebben, kan één middelmatige operator AI gebruiken om exploits te schrijven, websites te bouwen en social engineering-scripts te verbeteren. Dit heeft de Noord-Koreaanse cyberoperaties veranderd in iets dat lijkt op een door de staat gesanctioneerd misdaadsyndicaat, dat gestolen geld gebruikt om internationale sancties te omzeilen en nationale belangen te financieren, waaronder nucleaire programma’s.
De blinde vlek van de industrie
De bredere implicaties voor de cyberbeveiligingsindustrie zijn aanzienlijk. Hoewel een groot deel van het huidige debat zich richt op het toekomstige risico van ‘autonoom hacken van AI’, schuilt het echte gevaar nu in het misbruik van bestaande, commerciële tools.
Grote AI-aanbieders vechten al terug. OpenAI en Anthropic hebben beide gemeld dat ze Noord-Koreaanse accounts hebben gedetecteerd en verbannen. Cursor en Anima werken er ook aan om te voorkomen dat kwaadwillende actoren hun platforms gebruiken.
Zolang deze instrumenten echter toegankelijk blijven, zullen ze de toegangsdrempel voor cybercriminaliteit blijven verlagen. De dreiging is geen hypothetisch ‘Skynet’; het is het vermogen van ongeschoolde acteurs om met ongekende snelheid en schaal te bewegen.
Conclusie: AI zorgt niet noodzakelijkerwijs voor meer geavanceerde hackers, maar zorgt er wel voor dat middelmatige hackers op professioneel niveau kunnen opereren, waardoor laaggeschoolde cybercriminaliteit verandert in een door de staat gesponsorde industrie met een hoog rendement.
