Resumé
Hvordan infiltrerede nordkoreanske hackere cloud-miljøer for at stjæle kryptovaluta? Ifølge Google Clouds rapport “H2 2025 Cloud Threat Horizons” overvåger virksomhedens Threat Intelligence-team UNC4899, en hackinggruppe med forbindelser til Nordkorea, der er anklaget for at have brudt ind i to organisationer efter at have kontaktet medarbejdere via sociale medieplatforme.
“Aktiv siden mindst 2020, målretter UNC4899 primært mod kryptovaluta- og blockchain-industrierne og har vist en sofistikeret evne til at udføre komplekse kompromitteringer af forsyningskæder,” står der i rapporten.
Rapporten bemærker, at mellem Q3 2024 og Q1 2025 reagerede cybersikkerhedsfirmaet Mandiant på to separate hændelser relateret til UNC4899, der påvirkede en organisations Google Cloud-miljø og en andens AWS-miljø. Mens de indledende og afsluttende faser af indtrængen delte fælles taktikker, varierede metoderne brugt i de mellemliggende faser, hvilket sandsynligvis afspejler forskelle i ofrenes systemarkitekturer.
Angrebsmetoder
Rapporten beskriver yderligere, at i den indledende fase af disse angreb etablerede hackerne kontakt med ofrene via sociale medieplatforme, en gennem Telegram og den anden gennem LinkedIn, hvor de udgav sig for at være freelance softwareudviklingsrekrutterere. Målrettede medarbejdere blev derefter uvidende dirigeret til at køre ondsindede Docker-containere på deres arbejdsstationer.
Denne handling udløste udrulningen af malware, herunder downloadere som GLASSCANNON og sekundære payloads som PLOTTWIST og MAZEWIRE bagdøre, hvilket i sidste ende gjorde det muligt for angriberne at oprette forbindelse til deres kommandocentral (C2) servere.
“I begge tilfælde udførte UNC4899 adskillige interne rekognosceringsaktiviteter på ofrenes værter og tilknyttede miljøer, før de opnåede legitimationsoplysninger, som de brugte til at pivotere til ofrenes cloud-miljøer,” bemærkede rapporten.
Falske jobtilbud og trusler
Nordkoreanske hackere har i stigende grad været afhængige af falske jobtilbud for at infiltrere virksomheder. I juli sanktionerede det amerikanske finansministerium Song Kum Hyok for angiveligt at have drevet et scheme, der placerede forkædte nordkoreanske IT-arbejdere i amerikanske virksomheder for at generere indtægter til Den Demokratiske Folkerepublik Korea (DPRK). Disse arbejdere, ofte baseret i Kina eller Rusland, brugte falske identiteter og nationaliteter, uden at arbejdsgiverne var klar over bedraget.
Vigtigheden af decentralisering
Efterhånden som globale trusler presser kryptovaluta-platforme til at stramme sikkerheden, er dette en stærk påmindelse om, hvorfor decentraliserede, fællesskabsdrevne økosystemer som Shibarium er vigtige. I modsætning til traditionelle opsætninger, der er sårbare over for centraliserede udnyttelser, giver Shibariums åbne infrastruktur udviklere mulighed for at bygge med gennemsigtighed, modstandsdygtighed og tillid i centrum.
I stedet for at stole på et enkelt fejlpunktsystem distribuerer Shibarium kontrol på tværs af et netværk af validatorer, udviklere og deltagere fra fællesskabet. Denne decentralisering gør det ikke kun sværere for dårlige aktører, som statsstøttede hackinggrupper, at få fodfæste, men muliggør også hurtigere opdagelse og reaktion, når sårbarheder opstår.
Efterhånden som kryptovaluta-rummet står over for stigende cybersikkerhedsrisici, understreger økosystemer som Shibarium en alternativ vej fremad, en der er forankret i decentralisering, gennemsigtighed og en fælles forpligtelse til at bygge værktøjer, der tjener, ikke udnytter, folket.
Yderligere trusler fra Nordkorea
Nordkoreanske trusselaktører bruger NimDoor malware til at målrette Apple-enheder. Den nordkoreanske Lazarus-gruppe er knyttet til en ny $3,2M kryptovaluta-heist. Nordkoreanske hackere stjæler kryptovaluta for milliarder, mens de udgiver sig for at være VCs.