Nordkoreanske Hackinggrupper og Kryptovaluta
Nordkoreanske hackinggrupper anvender lokkemad i form af freelance IT-arbejde for at få adgang til cloud-systemer og stjæle kryptovalutaer til en værdi af millioner af dollars, ifølge separate undersøgelser fra Google Cloud og sikkerhedsfirmaet Wiz.
Google Clouds Rapport
Google Clouds rapport “H2 2025 Cloud Threat Horizons” afslører, at Google Threat Intelligence Group “aktivt overvåger” UNC4899, en nordkoreansk hackingenhed, der med succes har hackede to virksomheder efter at have kontaktet medarbejdere via sociale medier. I begge tilfælde gav UNC4899 medarbejderne opgaver, der resulterede i, at de kørte malware på deres arbejdsstationer, hvilket gjorde det muligt for hackinggruppen at etablere forbindelser mellem deres kommandocentre og de målrettede virksomheders cloud-baserede systemer.
Som et resultat kunne UNC4899 udforske ofrenes cloud-miljøer, opnå legitimationsoplysninger og i sidste ende identificere værter, der var ansvarlige for behandling af kryptotransaktioner. Mens hver enkelt hændelse målrettede forskellige (navngivne) virksomheder og forskellige cloud-tjenester (Google Cloud og AWS), resulterede begge i tyveri af flere millioner værd af kryptovaluta.
Strategier og Taktikker
“De udgiver sig ofte for at være jobrekrutterere, journalister, emneeksperter eller universitetsprofessorer, når de kontakter mål,” sagde Jamie Collier, Lead Threat Intelligence Advisor for Europa hos Google Threat Intelligence Group.
Collier forklarer, at nordkoreanske trusselaktører var blandt de første til hurtigt at adoptere nye teknologier som AI, som de bruger til at producere “mere overbevisende e-mails til opbygning af relationer” og til at skrive deres ondsindede scripts.
Wiz’s Analyse
Cloud-sikkerhedsfirmaet Wiz rapporterer også om UNC4899’s udnyttelser og bemærker, at gruppen også omtales med navnene TraderTraitor, Jade Sleet og Slow Pisces. TraderTraitor repræsenterer en bestemt type trusselaktivitet snarere end en specifik gruppe, med de nordkoreansk støttede enheder Lazarus Group, APT38, BlueNoroff og Stardust Chollima alle bag typiske TraderTraitor-udnyttelser.
I sin analyse af UNC4899/TraderTraitor bemærker Wiz, at kampagnerne begyndte tilbage i 2020, og at de ansvarlige hackinggrupper fra starten brugte joblokkemad til at lokke medarbejdere til at downloade ondsindede kryptovaluta-apps, der var bygget på JavaScript og Node.js ved hjælp af Electron-rammen.
Seneste Hændelser
TraderTraitor-trusselaktivitet udviklede sig derefter i 2023 til at inkorporere brugen af ondsindet open-source kode, mens den i 2024 fordoblede indsatsen med falske jobtilbud, primært målrettet børser. Mest bemærkelsesværdigt var TraderTraitor-grupper ansvarlige for hack af DMM Bitcoin i Japan til en værdi af $305 millioner og også hack af Bybit til en værdi af $1,5 milliarder i slutningen af 2024.
Som med de udnyttelser, der er fremhævet af Google, målrettede disse hacks cloud-systemer i varierende grad, og ifølge Wiz repræsenterer sådanne systemer en betydelig sårbarhed for kryptovaluta.
Økonomisk Indvirkning
“Vi mener, at TraderTraitor har fokuseret på cloud-relaterede udnyttelser og teknikker, fordi det er her, dataene, og dermed pengene, er,” sagde Benjamin Read, Wiz’s direktør for strategisk trusselintelligens.
Read forklarede, at målretning af cloud-teknologier gør det muligt for hackinggrupper at påvirke en bred vifte af mål, hvilket øger potentialet for at tjene flere penge. Disse grupper driver stor forretning, med estimater på $1,6 milliarder i kryptovaluta stjålet indtil videre i 2025.
Fremtiden for Nordkoreansk Hacking
Eksperter sagde, at alle tilgængelige tegn tyder på, at landet sandsynligvis vil forblive en fast bestanddel i kryptorelateret hacking i nogen tid fremover, især givet evnen hos dets operatører til at udvikle nye teknikker. “Nordkoreanske trusselaktører er en dynamisk og smidig styrke, der kontinuerligt tilpasser sig for at imødekomme regimets strategiske og finansielle mål,” sagde Googles Collier.
Han gentog, at nordkoreanske hackere i stigende grad gør brug af AI, og forklarede, at sådan brug muliggør “styrkeforøgelse,” hvilket igen har gjort det muligt for hackerne at skalere deres udnyttelser op. “Vi ser ingen tegn på, at de bremser ned, og forventer, at denne ekspansion fortsætter,” sagde han.
