Nordkoreanska Hackargrupper och Kryptovaluta
Nordkoreanska hackargrupper utnyttjar lockelsen av frilans IT-arbete för att få tillgång till molnsystem och stjäla kryptovalutor värda miljontals dollar, enligt en rapport från Google Cloud och säkerhetsföretaget Wiz. Google Clouds rapport ”H2 2025 Cloud Threat Horizons” avslöjar att Google Threat Intelligence Group ”aktivt spårar” UNC4899, en nordkoreansk hackargrupp som framgångsrikt hackade två företag efter att ha kontaktat anställda via sociala medier.
Metoder och Tekniker
I båda fallen gav UNC4899 de anställda instruktioner som ledde till att de körde skadlig programvara på sina arbetsstationer, vilket möjliggjorde för hackargruppen att etablera kopplingar mellan sina kommandocentraler och de målföretagens molnbaserade system. Som ett resultat kunde UNC4899 utforska offrens molnmiljöer, erhålla autentiseringsmaterial och slutligen identifiera värdar som var ansvariga för att behandla kryptotransaktioner.
”De utger sig ofta för att vara rekryterare, journalister, ämnesexperter eller universitetsprofessorer när de kontaktar sina mål,” sa Jamie Collier, Lead Threat Intelligence Advisor för Europa vid Google Threat Intelligence Group.
Collier förklarar att nordkoreanska hotaktörer var bland de första som snabbt antog nya teknologier som AI, som de använder för att producera mer övertygande e-postmeddelanden för att bygga relationer och för att skriva sina skadliga skript.
TraderTraitor och Hotaktiviteter
Även säkerhetsföretaget Wiz rapporterar om UNC4899:s utnyttjanden och noterar att gruppen också kallas TraderTraitor, Jade Sleet och Slow Pisces. TraderTraitor representerar en viss typ av hotaktivitet snarare än en specifik grupp, med de nordkoreanska stödda enheterna Lazarus Group, APT38, BlueNoroff och Stardust Chollima som alla ligger bakom typiska TraderTraitor-utnyttjanden.
I sin analys av UNC4899/TraderTraitor noterar Wiz att kampanjerna började redan 2020 och att de ansvariga hackargrupperna från början använde falska jobberbjudanden för att få anställda att ladda ner skadliga kryptovaluta-appar byggda på JavaScript och Node.js med hjälp av Electron-ramverket.
Stora Stölder och Sårbarheter
Gruppens kampanj från 2020 till 2022 ”brytade framgångsrikt flera organisationer,” enligt Wiz, inklusive Lazarus Groups $620 miljoner intrång i Axie Infinitys Ronin Network. Mest anmärkningsvärt var TraderTraitor-grupperna ansvariga för hackningen av DMM Bitcoin i Japan för $305 miljoner, samt hackningen av Bybit för $1,5 miljarder i slutet av 2024.
”Vi tror att TraderTraitor har fokuserat på molnrelaterade utnyttjanden och tekniker eftersom det är där datan, och därmed pengarna, finns,” sa Benjamin Read, direktör för strategisk hotintelligens på Wiz.
Dessa hackningar riktade sig mot molnsystem i varierande grad, och enligt Wiz representerar sådana system en betydande sårbarhet för kryptovaluta.
Framtiden för Nordkoreansk Hackning
Experter säger att alla tillgängliga tecken tyder på att landet sannolikt kommer att förbli en aktör inom kryptorelaterad hackning under en tid framöver, särskilt med tanke på förmågan hos dess operatörer att utveckla nya tekniker. ”Nordkoreanska hotaktörer är en dynamisk och smidig kraft som kontinuerligt anpassar sig för att möta regimens strategiska och finansiella mål,” sa Googles Collier.
Genom att upprepa att nordkoreanska hackare i allt högre grad använder AI, förklarade Collier att sådan användning möjliggör kraftmultiplikation, vilket i sin tur har gjort det möjligt för hackarna att skala upp sina utnyttjanden. ”Vi ser inga tecken på att de saktar ner och förväntar oss att denna expansion kommer att fortsätta,” sa han.
