Více klastrů hrozeb spojených se Severní Koreou bylo spojeno s útoky zaměřenými na organizace a jednotlivce v oblasti Web3 a kryptoměn.
„Zaměření na Web3 a kryptoměny je zřejmě primárně finančně motivované kvůli přísným sankcím, které byly na Severní Koreu uvaleny,“ uvedla společnost Mandiant vlastněná Googlem ve své zprávě M-Trends pro rok 2025. „Tyto aktivity mají za cíl generovat finanční zisky, které údajně financují severokorejský program zbraní hromadného ničení (ZHN) a další strategická aktiva.“
Kyberbezpečnostní firma uvedla, že hackeři napojení na KLDR vyvinuli vlastní nástroje napsané v různých jazycích, jako jsou Golang, C++ a Rust, a jsou schopni infikovat operační systémy Windows, Linux i macOS.
Nejméně tři sledované klastrové skupiny hrozeb, označované jako UNC1069, UNC4899 a UNC5342, byly identifikovány jako cílené na členy komunity zabývající se kryptoměnami a vývojem blockchainu, přičemž se zvláště zaměřují na vývojáře pracující na projektech souvisejících s Web3, aby získali nelegální přístup ke kryptoměnovým peněženkám a organizacím, které je zaměstnávají.
Stručný popis jednotlivých hrozeb:
– UNC1069 (aktivní nejméně od dubna 2018), která cílí na různá odvětví za účelem finančního zisku pomocí sociálního inženýrství, například rozesíláním falešných pozvánek na schůzky a vydáváním se za investory z renomovaných společností na Telegramu, aby získala přístup k digitálním aktivům a kryptoměnám obětí.
– UNC4899 (aktivní od roku 2022), která je známá pořádáním kampaní zaměřených na pracovní nabídky, při nichž je jako součást údajného programátorského úkolu doručován malware, a dříve provedla kompromitace dodavatelského řetězce za účelem finančního zisku (překrývá se se skupinami Jade Sleet, PUKCHONG, Slow Pisces a TraderTraitor).
– UNC5342 (aktivní nejméně od prosince 2022), která je rovněž známá využíváním pracovních náborových triků k oklamání vývojářů, aby spustili projekty obsahující malware (překrývá se se skupinami Contagious Interview, DeceptiveDevelopment, DEV#POPPER a Famous Chollima).
Dalším významným severokorejským aktérem je UNC4736, která se zaměřila na blockchainový průmysl tím, že trojanizovala obchodní softwarové aplikace, a byla připsána k řetězovému útoku na 3CX na začátku roku 2023.
Zdroj: The Hacker News
