Северокорейские хакерские группировки начали активнее атаковать с использованием приманки в виде фрилансерской работы в ИТ и крипте для получения доступа к облачным системам и кражи криптовалют. В отчете от Google Cloud говорится, что Google Threat Intelligence Group «активно отслеживает» UNC 4899 (TraderTraitor, Jade Sleet или Slow Pisces) — хакерское подразделение КНДР, которое успешно взломало две компании после контакта с работниками через социальные сети. Его связывают с Lazarus Group и Kimsuky Group.
В обоих случаях UNC 4899 давала работникам задания, которые приводили к запуску вредоносного ПО на их рабочих станциях, что позволяло злоумышленникам установить соединение между своими командными центрами и облачными системами целевых компаний.
В результате UNC 4899 смогли исследовать облачные среды жертв, получая учетные данные и в конечном итоге идентифицируя хосты, ответственные за обработку криптовалютных транзакций. Хотя каждый отдельный инцидент был нацелен на разные компании и облачные сервисы (Google Cloud и AWS), оба привели к краже криптовалют на несколько миллионов.
С начала 2025 года северокорейские хакеры уже украли около $1,6 млрд.
Они были одними из первых, кто быстро взял на вооружение новые технологии, такие как ИИ, которые они используют для создания более убедительных писем и написание своих вредоносных скриптов.
Группа TraderTraitor также ответственна за крупнейшие атаки: взлом японской DMM Bitcoin на $305 млн, а также криптобиржи Bybit на $1,5 млрд.
Северной Корее стать лидером в хакерстве криптовалют: эта страна была ответственна за 35% всех украденных средств в прошлом году.
Источник: Cloud Threat Horizons Report H2 2025