Meerdere dreigingsactiviteit clusters met banden met Noord -Korea (aka Democratische Volksrepubliek Korea of DVK) zijn gekoppeld aan aanvallen gericht op organisaties en individuen in het web3 en cryptocurrency -ruimte.
“De focus op Web3 en cryptocurrency lijkt voornamelijk financieel gemotiveerd te zijn vanwege de zware sancties die op Noord-Korea zijn geplaatst,” zei Google-eigendom Mandiant in zijn M-trendsrapport voor 2025 gedeeld met het Hacker News.
“Deze activiteiten zijn gericht op het genereren van financiële winst, naar verluidt de financiering van het Noord -Korea -wapens van Mass Destruction (WMD) en andere strategische activa.”
Het cybersecuritybedrijf zei dat DPRK-Nexus Threat-actoren aangepaste tools hebben ontwikkeld die zijn geschreven in verschillende talen zoals Golang, C ++ en Rust, en in staat zijn om Windows, Linux en MacOS-besturingssystemen te infecteren.
Ten minste drie dreigingsactiviteit clusters die het volgt als UNC1069, UNC4899 en UNC5342 zijn gebleken dat ze zich richten op leden van de cryptocurrency en blockchain-ontwikkelingsgemeenschap, met name gericht op ontwikkelaars die werken aan web3-adjacent-projecten om illegale toegang te krijgen tot cryptocurrency-portefeuilles en de organisaties die hen in dienst hebben.
Een korte beschrijving van elk van de dreigingsacteurs is hieronder –
- UNC1069 (Actief sinds minstens april 2018), dat zich richt op diverse industrieën voor financieel gewin met behulp van sociale engineeringtrucs door nep -uitnodigingen te sturen en zich voor te stellen als investeerders van gerenommeerde bedrijven op Telegram om toegang te krijgen tot digitale activa van slachtoffers en cryptocurrency
- UNC4899 (Actief sinds 2022), die bekend staat om het orkestreren van campagnes met taakthema die malware leveren als onderdeel van een veronderstelde coderingstoewijzing en eerder geënsceneerde supply chain compromissen voor financiële winst (overlapt met jade Sleet, Pukchong, Slow Vissen, TraderTraitor en UNC4899)
- UNC5342 (Actief sinds januari 2024), dat ook bekend staat om het gebruik van werkgerelateerde kunstaas om ontwikkelaars te misleiden tot lopende malware-geregen projecten (overlappingen met besmettelijk interview, bedrieglijke ontwikkeling, Dev#popper en beroemde chollima)
Een andere Noord -Koreaanse dreigingsacteur van Note is UNC4736, die de blockchain -industrie heeft uitgekozen door trojaniserende handelssoftwareapplicaties en is toegeschreven aan een trapsgewijze aanval op 3CX op 3CX in het begin van 2023.
Mandiant zei dat het ook een afzonderlijk cluster van Noord-Koreaanse activiteit heeft geïdentificeerd die werd gevolgd als UNC3782 dat grootschalige phishing-campagnes voert gericht op de cryptocurrency-sector.
“In 2023 voerde UNC3782 phishing -operaties uit tegen TRON -gebruikers en brachten op één dag meer dan $ 137 miljoen USD aan activa over,” merkte het bedrijf op. “UNC3782 heeft in 2024 een campagne gelanceerd om Solana -gebruikers te richten en deze te leiden naar pagina’s die cryptocurrency -afvoerders bevatten.”
Cryptocurrency -diefstal is een van de verschillende middelen die de DVK heeft nagestreefd om internationale sancties te omzeilen. Sinds 2022 heeft een actieve dreigingscluster genaamd UNC5267 duizenden van zijn burgers verzonden om werkgelegenheidsbanen op afstand te waarborgen bij bedrijven in de VS, Europa en Azië, terwijl hij voornamelijk in China en Rusland woont.
Een groot deel van de IT -werknemers zou worden aangesloten bij het 313 General Bureau of the Munitions Industry Department, dat verantwoordelijk is voor het nucleaire programma in Noord -Korea.
De Noord -Koreaanse IT -werknemers hebben, naast gebruik van gestolen identiteiten, volledig gefabriceerde persona’s gebruikt om hun activiteiten te ondersteunen. Dit wordt ook aangevuld met het gebruik van realtime deepfake-technologie om overtuigende synthetische identiteiten te creëren tijdens sollicitaties.
“Dit biedt twee belangrijke operationele voordelen. Ten eerste stelt het een enkele operator in staat om meerdere keren voor dezelfde positie te interviewen met verschillende synthetische persona’s,” zei Palo Alto Networks Unit 42 -onderzoeker Evan Gordenker.
“Ten tweede helpt het om medewerkers te voorkomen dat ze worden geïdentificeerd en toegevoegd aan beveiligingsbulletins en gewenste kennisgevingen. Gecombineerd helpt het DVK IT -werknemers te genieten van verbeterde operationele beveiliging en verminderde detecteerbaarheid.”
Het DVK IT-werknemersschema, dat insider-bedreigingen voor een geheel nieuw niveau brengt, is ontworpen om hun salarissen terug te keuren naar Pyongyang om zijn strategische doelen te bevorderen, langetermijntoegang tot slachtoffernetwerken te behouden en zelfs hun werkgevers af te persen.
“Ze hebben ook afpersingscampagnes tegen werkgevers geïntensiveerd en ze zijn verhuisd om activiteiten uit te voeren in virtuele virtuele desktops, netwerken en servers,” zei Jamie Collier en Michael Barnhart van Google Threat Intelligence Group (GTIG) vorige maand in een rapport.
“Ze gebruiken nu hun bevoorrechte toegang om gegevens te stelen en cyberaanvallen mogelijk te maken, naast het genereren van inkomsten voor Noord -Korea.”
In 2024 zei Mandiant dat het een vermoedelijke IT -werknemer identificeerde die ten minste 12 persona’s gebruikte terwijl hij werk in de VS en Europa zocht, wat de effectiviteit benadrukt van het wenden van dergelijke onconventionele methoden om organisaties onder valse voorwendselen te infiltreren.
“In ten minste één geval werden twee valse identiteiten in overweging genomen voor een baan in een Amerikaans bedrijf, waarbij de ene DVK IT -werknemer over de andere won”, aldus het bedrijf in de dreiging. In een ander geval waren “vier vermoedelijke DVK IT-werknemers binnen een periode van 12 maanden in een enkele organisatie in dienst.”
