Spionii cibernetici nord-coreeni nu mai sunt doar amenințări la distanță

Exploatarea de 285 milioane dolari din această lună asupra Drift, un exchange descentralizat (DEX), a fost cel mai mare hack crypto din ultimul an, când exchange-ul Bybit a pierdut 1,4 miliarde dolari. Hackerii susținuți de statul nord-coreean au fost numiți principalii suspecți în ambele atacuri.

În toamna trecută, atacatorii s-au dat drept o firmă de tranzacționare cantitativă și au abordat personal echipa de protocol a Drift la o conferință crypto majoră, a declarat Drift într-o postare pe X duminică.

"Se înțelege acum că aceasta pare a fi o abordare țintită, în care indivizi din acest grup au continuat să caute și să interacționeze deliberat cu anumiți colaboratori Drift, în persoană, la multiple conferințe majore din industrie, în mai multe țări, pe parcursul următoarelor șase luni", a declarat DEX-ul.

Până acum, spionii cibernetici nord-coreeni au vizat firmele crypto online, prin apeluri virtuale și muncă la distanță. O abordare în persoană la o conferință nu ar ridica de obicei suspiciuni, dar exploatarea Drift ar trebui să fie suficientă pentru ca participanții să revizuiască conexiunile realizate la evenimentele recente.

Coreea de Nord își extinde tactica crypto dincolo de hack-uri

Firma de analiză forensică blockchain TRM Labs a descris incidentul ca fiind cel mai mare hack DeFi din 2026 (până acum) și a doua cea mai mare exploatare din istoria Solana, imediat după hack-ul bridge-ului Wormhole de 326 milioane dolari din 2022.

Contactul inițial datează de aproximativ șase luni, dar exploatarea în sine se urmărește până la mijlocul lui martie, conform TRM. Atacatorul a început prin mutarea fondurilor din Tornado Cash și implementarea CarbonVote Token (CVT), folosind în același timp inginerie socială pentru a convinge semnatarii multisig să aprobe tranzacții care acordau permisiuni ridicate.

Apoi au fabricat credibilitate pentru CVT prin emiterea unei cantități mari și umflarea activității de tranzacționare pentru a simula cerere reală. Oracle-urile Drift au preluat semnalul și au tratat token-ul ca un activ legitim.

Când tranzacțiile pre-aprobate au fost executate pe 1 aprilie, CVT a fost acceptat ca garanție, limitele de retragere au fost crescute și fondurile au fost retrase în active reale, inclusiv USDC.

Related: Spion nord-coreean face o greșeală, își dezvăluie legăturile într-un interviu de angajare fals

Conform TRM, viteza și agresivitatea spălării ulterioare au depășit ceea ce s-a văzut în hack-ul Bybit.

Se crede pe scară largă că Coreea de Nord folosește furturi crypto la scară largă precum atacurile Drift și Bybit alături de tactici pe termen lung, inclusiv plasarea operativilor în roluri la distanță la firme tech și crypto pentru a genera venituri constante. Consiliul de Securitate al Națiunilor Unite a declarat că astfel de fonduri sunt utilizate pentru a susține programul de armament al țării.

Cercetătorul de securitate Taylor Monahan a spus că infiltrarea protocoalelor DeFi datează de la "vara DeFi", adăugând că aproximativ 40 de protocoale au avut contact cu presupuși operativi DPRK.

Media de stat nord-coreeană a raportat joi că țara a testat o armă electromagnetică și o rachetă balistică cu rază scurtă de acțiune, cunoscută sub numele de Hwasong-11, echipată cu focoase cu muniție în ciorchine.

Rețeaua de infiltrare alimentează venituri crypto constante

O investigație separată a dezvăluit cum o rețea de lucrători IT legați de Coreea de Nord a generat milioane prin infiltrare prelungită.

Datele obținute de la o sursă anonimă partajate de ZachXBT au arătat că rețeaua s-a dat drept dezvoltatori și s-a infiltrat în firme crypto și tech, generând aproximativ 1 milion dolari pe lună și peste 3,5 milioane dolari din noiembrie.

Grupul a obținut locuri de muncă folosind identități falsificate, a direcționat plățile printr-un sistem partajat, apoi a convertit fondurile în fiat și le-a trimis în conturi bancare chinezești prin platforme precum Payoneer.

Related: Ești freelancer? Spioni nord-coreeni ar putea să te folosească

Operațiunea s-a bazat pe o infrastructură de bază, inclusiv un site web partajat cu o parolă comună și clasamente interne care urmăreau câștigurile. 

Agenții au aplicat pentru roluri în mod deschis folosind VPN-uri și documente fabricate, indicând o strategie pe termen lung de infiltrare a operativilor pentru a extrage venituri constante.

Apărările evoluează pe măsură ce tacticile de infiltrare se răspândesc

Cointelegraph a întâlnit o schemă similară într-o investigație din 2025 condusă de Heiner García, care a petrecut luni de zile în contact cu un presupus operativ.

Cointelegraph a participat ulterior la interviul fals al lui García cu un suspect care se numea "Motoki", care pretindea că este japonez. Suspectul a părăsit apelul furios după ce nu a reușit să se prezinte în presupusul său dialect nativ.

Investigația a constatat că operativii au ocolit restricțiile geografice folosind acces la distanță la dispozitive situate fizic în țări precum SUA. În loc de VPN-uri, au operat acele mașini direct, făcând ca activitatea lor să pară locală.

Până acum, recrutatorii tech și-au dat seama că persoana de la capătul celălalt al unui interviu virtual de angajare poate fi într-adevăr un spion cibernetic nord-coreean. O strategie de apărare virală este să ceri suspecților să îl insulte pe Kim Jong Un. Până acum, tactica a fost eficientă.

Cu toate acestea, deoarece Drift a fost abordat în persoană și constatările lui García au arătat operativi găsind metode creative pentru a ocoli restricțiile geografice, actorii nord-coreeni au continuat să se adapteze la dinamica de tip "șoarece și pisică".

Cererea ca intervievații să numească liderul suprem al Coreei de Nord un "porc gras" este o strategie eficientă deocamdată, dar cercetătorii de securitate avertizează că aceasta nu va funcționa pentru totdeauna.

Magazine: Cecuri Bitcoin fantomă, China urmărește impozitele pe blockchain: Asia Express