Группа северокорейских хакеров TraderTraitor использовала фриланс-вакансии для получения доступа к облачным системам IT-компаний и хищения криптовалют. Об этом свидетельствуют отчеты Google Cloud и Wiz.
Согласно представленным данным, подразделение также известное как UNC4899 в период с июля 2024 по январь 2025 года взломало две неназванные компании. Под видом соискателей хакеры связались с сотрудниками целевых организаций через соцсети и убедили их запустить вредоносное ПО на рабочих компьютерах.
Таким образом злоумышленники получили доступ к облачным средам Google Cloud и Amazon Web Services и идентифицировали хосты, ответственные за обработку криптотранзакций.
Оба инцидента привели к краже «криптовалюты на сумму в несколько миллионов».
В Google подчеркнули, что атаки под видом трудоустройства широко распространились среди хакеров из КНДР.
«Они часто выдают себя за рекрутеров, журналистов, экспертов в предметной области или преподавателей колледжей, когда связываются с потенциальными жертвами», — отметили эксперты.
Для создания «более убедительных писем» и написания вредоносных скриптов киберпреступники применяют ИИ. Нацеливание на облачные технологии позволяет хакерским группам воздействовать на широкий круг целей, увеличивая потенциальный доход.
По информации Wiz, кампании TraderTraitor начались еще в 2020 году, причем за эксплойтами стоят структуры Lazarus Group, APT38, BlueNoroff и Stardust Chollima. За первые два года группе удалось взломать несколько организаций, включая сайдчейн Ronin Network игры Axie Infinity на сумму $620 млн.
В 2024 году киберпреступники активизировались за счет рассылки поддельных резюме в качестве соискателей работы на биткоин-биржах. Эксперты называют группы TraderTraitor ответственными за взлом японской платформы DMM Bitcoin на сумму $305 млн и атаку на Bybit с ущербом в $1,5 млрд.
По оценкам TRM Labs, за первую половину 2025 года связанные с Северной Кореей группировки похитили $1,6 млрд, что составляет 70% от общей суммы в этом периоде.
Ранее ForkLog сообщал, что киберпреступники ускорили темпы отмывания криптоактивов. Рекордная скорость перевода составила 4 секунды.