Северокорейские киберразведчики больше не являются лишь удаленными угрозами

Эксплойт Drift, DEX (Децентрализованные биржи), на 285 миллионов $ в этом месяце стал крупнейшим криптовалютным взломом за более чем год, когда биржа Bybit потеряла 1,4 миллиарда $. Хакеры, поддерживаемые государством Северной Кореи, были названы главными подозреваемыми в обеих атаках.

Прошлой осенью злоумышленники выдавали себя за количественную торговую фирму и лично подошли к команде протокола Drift на крупной криптовалютной конференции, сообщил Drift в публикации X в воскресенье.

"Теперь понятно, что это был целенаправленный подход, когда люди из этой группы продолжали намеренно искать и вступать в контакт с конкретными участниками Drift лично на нескольких крупных отраслевых конференциях в нескольких странах в течение следующих шести месяцев", - сообщил DEX.

До сих пор северокорейские кибершпионы нацеливались на криптовалютные компании онлайн, через виртуальные звонки и удаленную работу. Личный подход на конференции обычно не вызывает подозрений, но эксплойт Drift должен побудить участников пересмотреть связи, установленные на недавних мероприятиях.

Северная Корея расширяет криптовалютную стратегию за пределы взломов

Компания по блокчейн-криминалистике TRM Labs описала инцидент как крупнейший DeFi Стейкинг взлом 2026 года (на данный момент) и второй по величине эксплойт в истории Solana, сразу после взлома моста Wormhole на 326 миллионов $ в 2022 году.

Первоначальный контакт датируется примерно шестью месяцами ранее, но сам эксплойт прослеживается до середины марта, согласно TRM. Злоумышленник начал с перемещения средств из Tornado Cash и развертывания CarbonVote Token (CVT), используя социальную инженерию, чтобы убедить подписантов мультиподписи одобрить транзакции, предоставляющие повышенные разрешения.

Затем они создали доверие к CVT, выпустив большое предложение и раздув торговую активность, чтобы имитировать реальный спрос. Оракулы Drift уловили сигнал и рассматривали токен как легитимный актив.

Когда предварительно одобренные транзакции были выполнены 1 апреля, CVT был принят в качестве залога, лимиты на вывод средств были увеличены, и средства были выведены в реальных активах, включая USDC.

Связанное: Северокорейский шпион совершает ошибку, раскрывает связи на фальшивом собеседовании

По данным TRM, скорость и агрессивность последующего отмывания превысили то, что наблюдалось при взломе Bybit.

Широко распространено мнение, что Северная Корея использует крупномасштабные криптовалютные кражи, такие как атаки на Drift и Bybit, наряду с долгосрочными тактиками, включая размещение агентов на удаленных должностях в технологических и криптовалютных компаниях для получения стабильного дохода. Совет Безопасности ООН заявил, что такие средства используются для поддержки оружейной программы страны.

Исследователь безопасности Тейлор Монахан заявил, что проникновение в DeFi Стейкинг протоколы восходит к "DeFi лету", добавив, что около 40 протоколов имели контакт с предполагаемыми агентами КНДР.

Государственные СМИ Северной Кореи сообщили в четверг, что страна испытала электромагнитное оружие и баллистическую ракету малой дальности, известную как Hwasong-11, оснащенную кассетными боеголовками.

Сеть проникновения обеспечивает стабильный криптовалютный доход

Отдельное расследование выявило, как сеть ИТ-работников, связанных с Северной Кореей, генерировала миллионы через длительное проникновение.

Данные, полученные из анонимного источника, которыми поделился ZachXBT, показали, что сеть выдавала себя за разработчиков и внедрялась в криптовалютные и технологические компании, генерируя примерно 1 миллион $ в месяц и более 3,5 миллионов $ с ноября.

Группа получила работу, используя поддельные личности, направляла платежи через общую систему, затем конвертировала средства в фиатные деньги и отправляла их на китайские банковские счета через такие платформы, как Payoneer.

Связанное: Вы фрилансер? Северокорейские шпионы могут использовать вас

Операция опиралась на базовую инфраструктуру, включая общий веб-сайт с общим паролем и внутренние таблицы лидеров, отслеживающие заработки. 

Агенты подавали заявки на должности открыто, используя VPN и сфабрикованные документы, указывая на долгосрочную стратегию внедрения агентов для извлечения стабильного дохода.

Защита эволюционирует по мере распространения тактики проникновения

Cointelegraph столкнулся с аналогичной схемой в расследовании 2025 года, возглавляемом Хайнером Гарсией, который провел месяцы в контакте с предполагаемым агентом.

Позже Cointelegraph принял участие в фиктивном интервью Гарсии с подозреваемым, который называл себя "Motoki" и утверждал, что он японец. Подозреваемый в ярости покинул звонок после того, как не смог представиться на своем предполагаемом родном диалекте.

Расследование показало, что агенты обходили географические ограничения, используя удаленный доступ к устройствам, физически расположенным в таких странах, как США. Вместо VPN они управляли этими машинами напрямую, делая свою деятельность местной.

К настоящему времени технологические рекрутеры поняли, что человек на другом конце виртуального собеседования действительно может быть северокорейским кибершпионом. Вирусной защитной стратегией является просьба к подозреваемым оскорбить Ким Чен Ына. Пока эта тактика эффективна.

Однако, поскольку к Drift подошли лично, а выводы Гарсии показали, что агенты находят креативные методы обхода географических ограничений, северокорейские субъекты продолжали адаптироваться к динамике "кошки-мышки".

Просьба к собеседникам назвать верховного лидера Северной Кореи "толстой свиньей" является эффективной стратегией на данный момент, но исследователи безопасности предупреждают, что это не будет работать вечно.

Журнал: Фантомные чеки Bitcoin, Китай отслеживает налоги на блокчейне: Asia Express