Onderzoek Darktrace: cybercriminelen richten hun pijlen op cryptogebruikers met nep-startups

Den Haag, 17 juli 2025 – Uit nieuw onderzoek van Darktrace blijkt dat cybercriminelen cryptogebruikers op grote schaal aanvallen met een geraffineerde social engineering-campagne. Daarbij zetten ze nep-startups op rond thema’s als AI, gaming en Web3 om slachtoffers te verleiden schadelijke software te downloaden die hun crypto wallets leeghaalt. 

Geloofwaardige nepbedrijven en misbruik van legitieme platforms
In december 2024 beschreef Cado Security Labs de Meeten-campagne, waarbij aanvallers zich voordeden als vergadersoftwarebedrijven. Slachtoffers werden uitgenodigd om online meetings bij te wonen en installeerden zo ongemerkt de infostealer Realst, vermomd als videobelsoftware, met als doel cryptovaluta van slachtoffers te stelen. 

Uit onderzoek van Darktrace blijkt dat deze vorm van oplichting nog steeds gaande is cybercriminelen steeds geraffineerder te werk gaan.  Ze maken professioneel ogende websites, publiceren whitepapers en projectplannen via legitieme platforms zoals Notion, Medium en GitHub, en gebruiken gestolen of gecompromitteerde X-accounts (voorheen Twitter), vaak met een verificatiebadge, om geloofwaardig over te komen. Sommige accounts lijken te zijn gehackt en hebben veel volgers, waardoor ze moeilijk te onderscheiden zijn van echte bedrijven. 

Om de schijn van legitimiteit te versterken, voegen de aanvallers zelfs valse bedrijfsregistraties toe, richten ze neponderdelen zoals merchandisewebshops in en kopiëren ze open source-projecten op GitHub onder een nieuwe naam. Dit maakt het voor gebruikers vrijwel onmogelijk om onderscheid te maken tussen echt en nep. 

Deze nep-startups posten actief updates op sociale media en bloggen over niet-bestaande producten. Zo werd in een campagne een nep-blockchaingame ‘Eternal Decay’ gepromoot met foto’s van fictieve conferentie-optredens. In werkelijkheid bestaat deze game niet. 

Van eerste contact tot lege wallet
De aanval start vaak met een bericht via X, Telegram of Discord, waarin een ‘medewerker’ van de nep-startup vraagt of het slachtoffer nieuwe software wil testen in ruil voor een cryptobetaling. Slachtoffers krijgen toegang tot een downloadpagina en een registratiesleutel. 

Afhankelijk van het besturingssysteem wordt een Windows Electron-app of een macOS DMG aangeboden. Beide versies bevatten malware die systeeminformatie steelt en crypto wallets compromitteert. Op Windows wordt gebruikgemaakt van gestolen softwarecertificaten en technieken om detectie te ontwijken, zoals obfuscatie en anti-sandboxing. Bij macOS-versies is vaak de beruchte Atomic Stealer ingebouwd, die browsergegevens, cookies, documenten én crypto wallets buitmaakt. 

Traffer groups sturen internetverkeer naar malware
De campagne vertoont sterke overeenkomsten met de werkwijze van zogeheten traffer groups: georganiseerde cybercriminele netwerken die internetgebruikers via misleidende websites, advertenties of valse downloads naar malware leiden. Deze groepen werken vaak hiërarchisch met beheerders en “traffers” (of affiliates) die verkeer genereren via bijvoorbeeld SEO, YouTube-advertenties of nepsoftware. De gestolen gegevens en inloggegevens worden vervolgens verkocht op criminele marktplaatsen. 

Een beruchte traffer group, CrazyEvil, werd begin 2025 geïdentificeerd door Recorded Future. Deze groep is sinds 2021 actief en richt zich vooral op cryptocurrencygebruikers, influencers en gaminggemeenschappen. Ze zouden miljoenen dollars hebben verdiend met dit soort aanvallen. CrazyEvil en aanverwante subteams creëren, net als in deze campagne, nepsoftwarebedrijven en misbruiken platforms als X (Twitter) en Medium om slachtoffers te benaderen. Hoewel niet bevestigd is dat CrazyEvil direct achter deze specifieke campagne zit, zijn de gebruikte technieken zeer vergelijkbaar.  

Lees de blog op de website van Darktrace voor een uitgebreide technische analyse.

Over Darktrace
Darktrace is wereldleider in AI voor cybersecurity en laat organisaties elke dag voorop lopen ten opzichte van het continu veranderende dreigingslandschap. Darktrace is opgericht in 2013 en biedt een cybersecurityplatform dat organisaties beschermt tegen onbekende dreigingen met behulp van zijn eigen AI die in realtime leert van de unieke patronen van elke klant. Het Darktrace ActiveAI Security Platform™ levert een proactieve benadering van cyberveerkracht om bedrijven te beveiligen in hun hele digitale omgeving – van netwerk tot cloud en e-mail. Het biedt preventief inzicht in de beveiligingspositie, realtime dreigingsdetectie en autonome respons. Baanbrekende innovaties van onze R&D-teams in Cambridge, VK, en Den Haag, Nederland, hebben geresulteerd in meer dan 200 ingediende pantentaanvragen. Het platform en de services van Darktrace worden ondersteund voor meer dan 2.400 werknemers over de hele wereld die bijna 10.000 klanten in alle grote sectoren beschermen. Ga voor meer informatie naar http://www.darktrace.com.