Північнокорейські кібершпигуни більше не є лише віддаленою загрозою

Цього місяця експлойт на суму 285 мільйонів доларів на Drift, децентралізованій біржі (DEX), став найбільшим криптовалютним злом за понад рік, коли біржа Bybit втратила 1,4 мільярда доларів. Хакери, які підтримуються державою Північної Кореї, були названі основними підозрюваними в обох атаках.

Минулої осені зловмисники видали себе за фірму кількісної торгівлі та особисто зв'язалися з командою протоколу Drift на великій криптовалютній конференції, повідомив Drift у дописі в X у неділю.

"Тепер зрозуміло, що це виглядає як цілеспрямований підхід, коли представники цієї групи продовжували навмисно шукати та залучати конкретних учасників Drift особисто на кількох великих галузевих конференціях у кількох країнах протягом наступних шести місяців", - заявила DEX.

До цього часу північнокорейські кібершпигуни націлювалися на криптовалютні компанії онлайн через віртуальні дзвінки та віддалену роботу. Особистий підхід на конференції зазвичай не викликав би підозр, але експлойт Drift має бути достатньою причиною для відвідувачів переглянути контакти, встановлені на останніх заходах.

Північна Корея розширює криптовалютний арсенал за межі зломів

Блокчейн-криміналістична компанія TRM Labs описала інцидент як найбільший злом стейкінгу DeFi 2026 року (поки що) та другий за величиною експлойт в історії Solana, відразу після злому мосту Wormhole на суму 326 мільйонів доларів у 2022 році.

Перший контакт датується приблизно шістьма місяцями тому, але сам експлойт простежується до середини березня, згідно з TRM. Зловмисник почав з переміщення коштів з Tornado Cash та розгортання токена CarbonVote Token (CVT), одночасно використовуючи соціальну інженерію для переконання підписантів мультипідпису схвалити транзакції, які надавали підвищені дозволи.

Потім вони створили довіру до CVT, випустивши велику пропозицію та роздувши торгову активність для імітації реального попиту. Оракули Drift зафіксували сигнал і розглядали токен як легітимний актив.

Коли попередньо схвалені транзакції були виконані 1 квітня, CVT був прийнятий як застава, ліміти на зняття коштів було збільшено, і кошти було знято в реальних активах, включаючи USDC.

Пов'язане: Північнокорейський шпигун помилився, розкривши зв'язки на фальшивому співбесіді

Згідно з TRM, швидкість та агресивність наступного відмивання перевищили те, що спостерігалося під час злому Bybit.

Вважається, що Північна Корея використовує масштабні криптовалютні крадіжки, такі як атаки на Drift та Bybit, поряд з довгостроковою тактикою, включаючи розміщення агентів на віддалених посадах у технологічних та криптовалютних компаніях для отримання стабільного доходу. Рада Безпеки ООН заявила, що такі кошти використовуються для підтримки зброєвої програми країни.

Дослідник безпеки Тейлор Монахан сказав, що інфільтрація протоколів DeFi сягає часів "DeFi літа", додавши, що близько 40 протоколів мали контакт з підозрюваними агентами КНДР.

Північнокорейські державні ЗМІ повідомили в четвер, що країна випробувала електромагнітну зброю та балістичну ракету малої дальності, відому як Hwasong-11, оснащену касетними боєголовками.

Мережа інфільтрації забезпечує стабільний криптовалютний дохід

Окреме розслідування виявило, як мережа пов'язаних з Північною Кореєю IT-працівників згенерувала мільйони через тривалу інфільтрацію.

Дані, отримані з анонімного джерела, якими поділився ZachXBT, показали, що мережа видавала себе за розробників і впроваджувалася в криптовалютні та технологічні компанії, генеруючи приблизно 1 мільйон доларів на місяць і понад 3,5 мільйона доларів з листопада.

Група отримала роботу, використовуючи підроблені особи, спрямовувала платежі через спільну систему, потім конвертувала кошти у фіат і надсилала їх на китайські банківські рахунки через платформи, такі як Payoneer.

Пов'язане: Ви фрілансер? Північнокорейські шпигуни можуть використовувати вас

Операція спиралася на базову інфраструктуру, включаючи спільний веб-сайт зі спільним паролем та внутрішні таблиці лідерів для відстеження заробітків. 

Агенти подавали заявки на посади відкрито, використовуючи VPN та сфабриковані документи, вказуючи на довгострокову стратегію впровадження агентів для отримання стабільного доходу.

Захист еволюціонує в міру поширення тактики інфільтрації

Cointelegraph зіткнувся зі схожою схемою в розслідуванні 2025 року під керівництвом Хейнера Гарсії, який провів місяці в контакті з підозрюваним агентом.

Cointelegraph пізніше взяв участь у фіктивній співбесіді Гарсії з підозрюваним, який називався "Motoki" і стверджував, що він японець. Підозрюваний у гніві вийшов із дзвінка після того, як не зміг представитися своїм нібито рідним діалектом.

Розслідування виявило, що агенти обходили географічні обмеження, використовуючи віддалений доступ до пристроїв, фізично розташованих у таких країнах, як США. Замість VPN вони керували цими машинами безпосередньо, роблячи свою діяльність локальною.

До цього часу технічні рекрутери зрозуміли, що людина на іншому кінці віртуальної співбесіді може справді бути північнокорейським кібершпигуном. Вірусна стратегія захисту полягає в тому, щоб попросити підозрюваних образити Кім Чен Ина. Поки що ця тактика була ефективною.

Однак, оскільки до Drift звернулися особисто, а висновки Гарсії показали, що агенти знаходять творчі методи обходу географічних обмежень, північнокорейські актори продовжували адаптуватися до динаміки кота і миші.

Прохання до співрозмовників назвати верховного лідера Північної Кореї "товстою свинею" є ефективною стратегією на даний момент, але дослідники безпеки попереджають, що це не буде працювати вічно.

Журнал: Фантомні чеки Bitcoin, Китай відстежує податки на блокчейні: Asia Express