Een Braziliaanse beveiligingsonderzoeker onthult een grootschalige operatie waarbij namaak Ledger hardware wallets via Chinese marktplaatsen verkocht worden. De vervalsingen lijken uiterlijk op echte Ledger Nano S+ apparaten, maar bevatten binnenin een volledig ander chipontwerp dat seed phrases en pincodes direct naar criminelen stuurt. De campagne omvat niet alleen hardware maar ook gemanipuleerde software voor Windows, macOS, Android en iOS via TestFlight. Alle informatie die een slachtoffer invoert verdwijnt naar servers in handen van aanvallers.
Namaakhardware stuurt alles direct door
De onderzoeker kocht een Ledger Nano S+ via een Chinese marktplaats om tests uit te voeren. De prijs was verdacht laag en de verpakking ogenschijnlijk acceptabel, maar bij opening werd direct duidelijk dat het om een vervalsing ging. Bij demontage kwamen meerdere alarmerende bevindingen naar voren.
Het apparaat bevat een ESP32 S3 chip in plaats van het echte ST33 Secure Element dat Ledger gebruikt. De markeringen op de chip waren fysiek weggeschuurd om identificatie te bemoeilijken. De firmware presenteert zichzelf als Ledger Nano S+ V2.1, een versie die niet bestaat. Het meest verontrustend: na het uitlezen van het flashgeheugen vond de onderzoeker seed phrases en pincodes in platte tekst. De firmware stuurt alle ingevoerde gegevens naar een command and control server op kkkhhhnnn.com en ondersteunt het leegtrekken van wallets op circa twintig verschillende blockchains. Elke seed phrase die iemand in het apparaat invoert, wordt onmiddellijk geëxfiltreerd naar de aanvaller.
Gemanipuleerde software op vijf platforms
De operatie gaat veel verder dan alleen hardware. De verkoper leverde een aangepaste Ledger Live applicatie mee. Analyse toont dat de app is gebouwd met React Native op Hermes v96 en is ondertekend met een Android Debug certificaat, wat aangeeft dat de aanvallers niet eens de moeite namen om een legitieme handtekening te bemachtigen. De software haakt in op XState om APDU commando’s te onderscheppen en gebruikt stiekeme XHR verzoeken om data door te sturen naar twee extra command and control servers.
De onderzoeker ontdekte dat dezelfde operatie bestanden verspreidt voor Windows (.EXE), macOS (.DMG) in een stijl die lijkt op eerder gedocumenteerde AMOS campagnes, Android (.APK) en zelfs iOS via TestFlight. De iOS route is bijzonder zorgwekkend omdat TestFlight de reguliere App Store beoordelingen omzeilt, een tactiek die eerder gezien werd bij de CryptoRom oplichtingscampagnes. In totaal betreft het vijf verschillende aanvalsvectoren die samen een ecosysteem van diefstal vormen.
Waar de nephardware vandaan komt
De onderzoeker wijst nadrukkelijk op derde partij marktplaatsen als bron van deze vervalsingen. Platforms als Amazon 3P, eBay, Mercado Livre, JD en AliExpress hebben een gedocumenteerde geschiedenis van het distribueren van gecompromitteerde hardware wallets. Op BitcoinTalk zijn gevallen beschreven waarbij gebruikers meer dan $200.000 verloren door nephardware.
Het gevaarlijke aan deze aanval is dat de reguliere veiligheidscontroles niet werken. De genuine check functie in Ledger Live kan omzeild worden door kwaadaardige firmware. Als de hardware al vanaf de fabriek is gecompromitteerd, heeft softwarevalidatie geen zin. Duidelijke waarschuwingssignalen zijn een apparaat dat aankomt met een reeds gegenereerde seed phrase of documentatie die de gebruiker vraagt de seed phrase in de app in te typen. Beide scenario’s betekenen oplichting en het apparaat moet vernietigd worden.
Wat crypto gebruikers moeten doen
De boodschap van de onderzoeker is ondubbelzinnig. Koop hardware wallets uitsluitend via de officiële website van de fabrikant of geautoriseerde wederverkopers. Geen enkele korting of markttest rechtvaardigt het risico. Wie twijfelt over een apparaat van verdachte herkomst kan beter het verlies van de aankoopprijs accepteren dan al zijn crypto vermogen riskeren.
Het onderzoek is voorgelegd aan Ledger Donjon en hun phishing bounty team. Een volledige technische rapportage volgt zodra de interne analyse is afgerond. Voor de crypto gemeenschap is het incident een pijnlijke herinnering dat de grootste bedreiging niet altijd een geavanceerde hack op een exchange is, maar soms simpelweg een apparaat dat via een schijnbaar legitieme webshop in huis komt. De combinatie van vijf aanvalsvectoren en een geavanceerde infrastructuur laat zien dat criminele groepen hun tactieken verfijnen op een schaal die veel beleggers onderschatten.
