Las autoridades japonesas y estadounidenses han atribuido anteriormente el robo de criptomonedas por valencia de 308 millones de dólares de la empresa de criptomonedas DMM Bitcoin en mayo de 2024 a ciberactores norcoreanos.
«El robo está afiliado a la actividad de amenazas de TraderTraitor, que igualmente se rastrea como Jade Sleet, UNC4899 y Slow Piscis», dijeron las agencias. «La actividad de TraderTraitor a menudo se caracteriza por ingeniería social dirigida a varios empleados de la misma empresa simultáneamente».
La alerta es cortesía de la Oficina Federal de Investigaciones (FBI) de EE. UU., el Centro de Delitos Cibernéticos del Unidad de Defensa y la Agencia Doméstico de Policía de Japón. Vale la pena señalar que DMM Bitcoin cerró sus operaciones a principios de este mes a posteriori del ataque.
TraderTraitor se refiere a un especie de actividad de amenazas persistentes vinculado a Corea del Ártico que tiene un historial de apuntar a empresas del sector Web3, atrayendo a las víctimas para que descarguen aplicaciones de criptomonedas con malware y, en última instancia, facilitando el robo. Se sabe que está activo desde al menos 2020.
En los últimos primaveras, el equipo de hackers ha orquestado una serie de ataques que aprovechan campañas de ingeniería social con temas laborales o llegan a objetivos potenciales con el pretexto de colaborar en un esquema de GitHub, lo que luego conduce al despliegue de paquetes npm maliciosos.
Sin requisa, el especie es quizás más conocido por infiltrarse y obtener paso no facultado a los sistemas de JumpCloud el año pasado para apuntar a un pequeño especie de clientes intermedios.
La prisión de ataque documentada por el FBI no es diferente, ya que los actores de amenazas contactaron a un empleado de una empresa de software de billetera de criptomonedas con sede en Japón llamamiento Ginco en marzo de 2024, haciéndose advenir por un reclutador y enviándole una URL a un script Python zorro alojado en GitHub. como parte de una supuesta prueba previa al empleo.
La víctima, que tenía paso al sistema de dirección de billetera de Ginco, se vio comprometida seguidamente a posteriori de copiar el código Python en su página personal de GitHub.
El adversario pasó a la posterior etapa del ataque a mediados de mayo de 2024, cuando aprovechó la información de las cookies de sesión para hacerse advenir por el empleado comprometido y obtuvo paso con éxito al sistema de comunicaciones no cifradas de Ginco.
«A finales de mayo de 2024, los actores probablemente utilizaron este paso para manipular una solicitud de transacción legítima por parte de un empleado de DMM, lo que resultó en la pérdida de 4.502,9 BTC, por un valencia de 308 millones de dólares en el momento del ataque», dijeron las agencias. «Los fondos robados finalmente se trasladaron a carteras controladas por TraderTraitor».
La divulgación se produce poco a posteriori de que Chainalysis atribuyó el hackeo de DMM Bitcoin a actores de amenazas norcoreanos, afirmando que los atacantes atacaron vulnerabilidades en la infraestructura para realizar retiros no autorizados.
«El atacante movió millones de dólares en criptomonedas desde DMM Bitcoin a varias direcciones intermediarias antaño de asistir finalmente a un servicio de mezcla Bitcoin CoinJoin», dijo la firma de inteligencia blockchain.
«A posteriori de mezclar con éxito los fondos robados utilizando el servicio de mezcla Bitcoin CoinJoin, los atacantes movieron una parte de los fondos a través de una serie de servicios puente y, finalmente, a HuiOne Guarantee, un mercado en tendencia vinculado al conglomerado camboyano HuiOne Group, que anteriormente era expuesto como un actor importante en la facilitación de los delitos cibernéticos».
El ampliación igualmente se produce cuando el Centro de Inteligencia de Seguridad AhnLab (ASEC) reveló que el actor de amenazas norcoreano con nombre en código Andariel, un subgrupo interiormente del Camarilla Lazarus, está implementando la puerta trasera SmallTiger como parte de ataques dirigidos a soluciones de centralización de documentos y dirección de activos de Corea del Sur. .