Północnokoreańscy cyberszpiedzy nie są już tylko zdalnym zagrożeniem

Tegoroczny atak na Drift, zdecentralizowaną giełdę (DEX), w wyniku którego skradziono 285 milionów dolarów, był największym włamaniem do kryptowalut od ponad roku, kiedy giełda Bybit straciła 1,4 miliarda dolarów. Hakerzy wspierani przez państwo północnokoreańskie zostali wskazani jako główni podejrzani w obu atakach.

Minionej jesieni atakujący podszywali się pod firmę zajmującą się handlem ilościowym i osobiście skontaktowali się z zespołem protokołu Drift na dużej konferencji kryptowalutowej, poinformował Drift w poście na X w niedzielę.

"Obecnie wiadomo, że było to ukierunkowane podejście, w którym osoby z tej grupy przez kolejne sześć miesięcy celowo wyszukiwały i angażowały konkretnych współtwórców Drift, osobiście, na wielu głównych konferencjach branżowych w wielu krajach" - powiedział DEX.

Do tej pory północnokoreańscy cyberszpiedzy atakowali firmy kryptowalutowe online, poprzez wirtualne rozmowy i pracę zdalną. Osobiste podejście na konferencji zazwyczaj nie wzbudzałoby podejrzeń, ale atak na Drift powinien wystarczyć, aby uczestniicy przeanalizowali kontakty nawiązane na ostatnich wydarzeniach.

Korea Północna rozszerza swój arsenał kryptowalutowy poza włamaniami

Firma zajmująca się kryminalistyką blockchainową TRM Labs opisała incydent jako największe włamanie do DeFi w 2026 roku (jak dotąd) i drugie co do wielkości włamanie w historii Solany, zaraz po włamaniu do mostu Wormhole wartym 326 milionów dolarów w 2022 roku.

Według TRM, początkowy kontakt miał miejsce około sześć miesięcy temu, ale sam atak sięga połowy marca. Atakujący rozpoczął od przeniesienia środków z Tornado Cash i wdrożenia CarbonVote Token (CVT), jednocześnie używając inżynierii społecznej, aby przekonać sygnatariuszy multisig do zatwierdzenia transakcji przyznających podwyższone uprawnienia.

Następnie stworzyli wiarygodność dla CVT, wybijając dużą podaż i zawyżając aktywność handlową, aby symulować rzeczywisty popyt. Wyrocznie Drift odebrały sygnał i potraktowały token jako legalny zasób.

Kiedy wcześniej zatwierdzone transakcje zostały wykonane 1 kwietnia, CVT został zaakceptowany jako zabezpieczenie, limity wypłat zostały zwiększone, a środki zostały wypłacone w rzeczywistych aktywach, w tym USDC.

Powiązane: Północnokoreański szpieg popełnia błąd, ujawnia powiązania podczas fałszywej rozmowy kwalifikacyjnej

Według TRM, szybkość i agresywność późniejszego prania pieniędzy przekroczyły to, co zaobserwowano w ataku na Bybit.

Powszechnie uważa się, że Korea Północna wykorzystuje kradzieże kryptowalut na dużą skalę, takie jak ataki na Drift i Bybit, wraz z długoterminowymi taktykami, w tym umieszczaniem agentów w zdalnych rolach w firmach technologicznych i kryptowalutowych w celu generowania stałego dochodu. Rada Bezpieczeństwa Organizacji Narodów Zjednoczonych stwierdziła, że takie fundusze są wykorzystywane do wspierania programu uzbrojenia kraju.

Badaczka bezpieczeństwa Taylor Monahan powiedziała, że infiltracja protokołów DeFi sięga czasów "lata DeFi", dodając, że około 40 protokołów miało kontakt z podejrzanymi agentami KRLD.

Północnokoreańskie media państwowe poinformowały w czwartek, że kraj przetestował broń elektromagnetyczną i pocisk balistyczny krótkiego zasięgu, znany jako Hwasong-11, wyposażony w głowice z amunicją kasetową.

Sieć infiltracyjna napędza stałe przychody z kryptowalut

Osobne śledztwo ujawniło, jak sieć pracowników IT powiązanych z Koreą Północną wygenerowała miliony poprzez długotrwałą infiltrację.

Dane uzyskane z anonimowego źródła udostępnione przez ZachXBT pokazały, że sieć podszywała się pod programistów i osadzała się w firmach kryptowalutowych i technologicznych, generując około 1 miliona dolarów miesięcznie i ponad 3,5 miliona dolarów od listopada.

Grupa zabezpieczała miejsca pracy za pomocą sfałszowanych tożsamości, kierowała płatności przez wspólny system, następnie przeliczała środki na walutę fiducjarną i wysyłała je na chińskie konta bankowe za pośrednictwem platform takich jak Payoneer.

Powiązane: Jesteś freelancerem? Północnokoreańscy szpiedzy mogą cię wykorzystywać

Operacja opierała się na podstawowej infrastrukturze, w tym wspólnej stronie internetowej ze wspólnym hasłem i wewnętrznymi tabelami wyników śledzącymi zarobki. 

Agenci aplikowali na stanowiska jawnie, używając VPN-ów i sfabrykowanych dokumentów, wskazując na długoterminową strategię osadzania agentów w celu pozyskiwania stałych dochodów.

Obrona ewoluuje wraz z rozprzestrzenianiem się taktyk infiltracyjnych

Cointelegraph natknął się na podobny schemat w śledztwie z 2025 roku prowadzonym przez Heinera Garcíę, który spędził miesiące w kontakcie z podejrzanym agentem.

Cointelegraph później wziął udział w fałszywej rozmowie kwalifikacyjnej Garcíi z podejrzanym, który posługiwał się imieniem "Motoki" i twierdził, że jest Japończykiem. Podejrzany wściekle zakończył rozmowę po tym, jak nie udało mu się przedstawić w jego rzekomym ojczystym dialekcie.

Śledztwo wykazało, że agenci omijali ograniczenia geograficzne, używając zdalnego dostępu do urządzeń fizycznie zlokalizowanych w krajach takich jak USA. Zamiast VPN-ów, obsługiwali te maszyny bezpośrednio, sprawiając, że ich działalność wyglądała na lokalną.

Do tej pory rekruterzy w branży technologicznej zdali sobie sprawę, że osoba po drugiej stronie wirtualnej rozmowy kwalifikacyjnej może rzeczywiście być północnokoreańskim cyberszpiegiem. Wirusowa strategia obronna polega na poproszeniu podejrzanych o obrazę Kim Dzong Una. Jak dotąd, taktyka była skuteczna.

Jednak, ponieważ do Drift podeszli osobiście, a odkrycia Garcíi pokazały, że agenci znajdują kreatywne metody omijania ograniczeń geograficznych, północnokoreańscy aktorzy nadal dostosowują się do dynamiki gry w kotka i myszkę.

Proszenie osób przeprowadzających rozmowy kwalifikacyjne o nazwanie najwyższego przywódcy Korei Północnej "grubą świnią" jest obecnie skuteczną strategią, ale badacze bezpieczeństwa ostrzegają, że nie będzie to działać wiecznie.

Magazyn: Fantomowe czeki Bitcoin, Chiny śledzą podatki na blockchainie: Asia Express