- Згідно зі звітом Google Cloud, хакери з Північної Кореї провели атаки на криптовалютні платформи, завдавши збитків у 1,6 мільярда доларів у 2025 році.
- Вони використовували фальшиві вакансії для зламу криптобірж та штучний інтелект для комунікації.
- Ця група злочинців має кілька імен, зокрема UNC4899, TraderTraitor, Jade Sleet та Slow Pisces.
Хакери з Північної Кореї активізували свої атаки на криптовалютні компанії, використовуючи підроблені вакансії та складні шкідливі програми для доступу до хмарних систем. За даними Google Cloud та Wiz, лише у 2025 році групи, пов’язані з Північною Кореєю, викрали криптовалюти на суму понад 1,6 мільярда доларів.
У звіті Google Cloud за підсумками другого півріччя 2025 року зазначається, що UNC4899 — північнокорейська хакерська група, яка перебуває під пильним спостереженням — успішно атакувала дві компанії, використовуючи обман для довіри працівників через соціальні мережі.
Зловмисники надсилали працівникам, нібито виконуючи “тестові завдання”, шкідливі скрипти. Виконавши ці завдання, хакери отримували віддалений доступ до хмарних ресурсів компаній, викрадали облікові дані та виявляли вузли, відповідальні за обробку криптотранзакцій.
Обидві атаки були на різні компанії та хмарні платформи (включаючи Google Cloud та AWS), проте результатом стала крадіжка кількох мільйонів доларів у криптовалютах.
За словами Джеймі Коллієра, головного експерта з розвідки загроз у Google Threat Intelligence Group, північнокорейські хакери часто видають себе за рекрутів, журналістів, професорів або експертів у певних сферах:
«Вони активно створюють довіру, спілкуються багато разів і застосовують штучний інтелект для створення найбільш правдоподібного листування».
Компанія Wiz, що також займається вивченням діяльності UNC4899, зазначила, що цю групу також відносять до назв TraderTraitor, Jade Sleet та Slow Pisces. TraderTraitor є загальним терміном для ряду атак, за якими стоять угруповання, такі як Lazarus Group, APT38, BlueNoroff та Stardust Chollima.
За даними Wiz, кампанії TraderTraitor розпочалися ще у 2020 році та з часом еволюціонували:
- 2020-2022 роки: атаки за допомогою шкідливих криптозастосунків на JavaScript (Electron);
- 2023 рік: впровадження шкідливого відкритого коду;
- 2024-2025 роки: атаки через підроблені IT-вакансії, особливо щодо криптобірж.
Серед найбільш значущих атак групи — злом японської біржі DMM Bitcoin, що призвело до втрати 303 мільйонів доларів, та злом біржі Bybit на 1,5 мільярда доларів, про що стало відомо в лютому 2025 року.
На думку Бенджаміна Ріда, директора з розвідки загроз у Wiz:
«TraderTraitor концентрується на хмарних атаках, оскільки саме там зберігаються дані, а отже, і гроші. Це особливо актуально для криптоіндустрії, яка часто використовує підхід «cloud-first» при створенні інфраструктури».
За останніми оцінками, кількість пов’язаних з TraderTraitor хакерів може досягати тисячі осіб, які працюють у паралельних або зв’язаних групах.
Зазначимо, що раніше TRM Labs повідомляли про те, що в перше півріччя 2025 року криптоіндустрія зазнала збитків понад 2,1 мільярда доларів.
Представники Google попередили, що діяльність північнокорейських хакерів продовжує розширюватися.
«Ми не бачимо жодних ознак уповільнення їхніх атак і очікуємо подальшого масштабування», — наголосив Коллієр.
Нагадаємо, що ще в квітні експерти Google Threat Intelligence Group виявили способи діяльності хакерів з КНДР.
Нещодавно американка отримала 8,5 років позбавлення волі за допомогу північнокорейським хакерам у працевлаштуванні в компаніях США.