Hacking mula sa Hilagang Korea
Ang mga grupo ng hacking mula sa Hilagang Korea ay gumagamit ng pang-akit ng freelance IT work upang makakuha ng access sa mga cloud system at magnakaw ng mga cryptocurrencies na nagkakahalaga ng milyon-milyong dolyar, ayon sa hiwalay na pananaliksik mula sa Google Cloud at security firm na Wiz.
UNC4899 at ang kanilang mga Teknik
Ipinapakita ng H2 2025 Cloud Threat Horizons Report ng Google Cloud na ang Google Threat Intelligence Group ay “aktibong nagmamanman” sa UNC4899, isang yunit ng hacking mula sa Hilagang Korea na matagumpay na nakapasok sa dalawang kumpanya matapos makipag-ugnayan sa mga empleyado sa pamamagitan ng social media.
Sa parehong kaso, nagbigay ang UNC4899 ng mga gawain sa mga empleyado na nagresulta sa pagtakbo ng malware sa kanilang mga workstation, na nagbigay-daan sa grupo ng hacking na makapag-establish ng koneksyon sa pagitan ng kanilang command-and-control centers at ng mga cloud-based systems ng target na kumpanya.
Mga Resulta ng Pagnanakaw
Bilang resulta, nagkaroon ng pagkakataon ang UNC4899 na suriin ang mga cloud environment ng mga biktima, nakakuha ng mga credential materials at sa huli ay natukoy ang mga host na responsable sa pagproseso ng crypto transactions. Habang ang bawat hiwalay na insidente ay tumarget sa iba’t ibang (hindi pinangalanang) kumpanya at iba’t ibang cloud services (Google Cloud at AWS), parehong nagresulta ito sa pagnanakaw ng “ilang milyon na halaga ng crypto.”
Mga Estratehiya ng mga Hacker
“Madalas silang nagpapanggap bilang mga recruiter, mamamahayag, eksperto sa paksa, o mga propesor sa kolehiyo kapag nakikipag-ugnayan sa mga target,” aniya, idinadagdag na madalas silang nakikipag-usap nang maraming beses upang makabuo ng ugnayan sa mga target.
Ipinaliwanag ni Jamie Collier, ang Lead Threat Intelligence Advisor para sa Europa sa Google Threat Intelligence Group, na ang mga banta mula sa Hilagang Korea ay kabilang sa mga unang mabilis na nag-adopt ng mga bagong teknolohiya tulad ng AI, na ginagamit nila upang makagawa ng “mas kapani-paniwala na mga email na nagtataguyod ng ugnayan” at upang isulat ang kanilang mga malisyosong script.
TraderTraitor at ang kanilang mga Kampanya
Ang cloud security firm na Wiz ay nag-ulat din sa mga exploits ng UNC4899, na binanggit na ang grupo ay tinatawag ding TraderTraitor, Jade Sleet, at Slow Pisces. Ang TraderTraitor ay kumakatawan sa isang tiyak na uri ng aktibidad ng banta sa halip na isang tiyak na grupo, kung saan ang mga entity na sinusuportahan ng Hilagang Korea tulad ng Lazarus Group, APT38, BlueNoroff, at Stardust Chollima ay nasa likod ng mga karaniwang TraderTraitor exploits, ayon sa Wiz.
Sa kanilang pagsusuri ng UNC4899/TraderTraitor, binanggit ng Wiz na nagsimula ang mga kampanya noong 2020 at mula sa simula, ginamit ng mga responsable sa hacking ang mga alok ng trabaho upang hikayatin ang mga empleyado na mag-download ng mga malisyosong crypto apps na nakabatay sa JavaScript at Node.js gamit ang Electron framework.
Pag-unlad ng mga Aktibidad
Ayon sa Wiz, ang kampanya ng grupo mula 2020 hanggang 2022 ay “matagumpay na nakapasok sa maraming organisasyon,” kabilang ang $620 milyong paglabag ng Lazarus Group sa Ronin Network ng Axie Infinity. Ang aktibidad ng banta ng TraderTraitor ay umunlad noong 2023 upang isama ang paggamit ng malisyosong open-source code, habang noong 2024, nagdoble ito sa mga pekeng alok ng trabaho, pangunahing tumatarget sa mga palitan.
Pinaka-kilala, ang mga grupo ng TraderTraitor ang responsable para sa $305 milyong hack ng DMM Bitcoin ng Japan, at pati na rin ang $1.5 bilyong hack ng Bybit sa katapusan ng 2024, na inihayag ng palitan noong Pebrero ng taong ito.
Mga Vulnerability sa Cloud Systems
Tulad ng mga exploits na itinampok ng Google, ang mga hack na ito ay tumarget sa mga cloud system sa iba’t ibang antas, at ayon sa Wiz, ang mga ganitong sistema ay kumakatawan sa isang makabuluhang kahinaan para sa crypto. “Naniniwala kami na nakatuon ang TraderTraitor sa mga cloud-related exploits at techniques dahil dito nakasalalay ang data, at sa gayon ay pera,” sinabi ni Benjamin Read, Direktor ng Strategic Threat Intelligence ng Wiz, sa Decrypt.
Ipinaliwanag ni Read na ang pagtutok sa mga cloud technologies ay nagbibigay-daan sa mga grupo ng hacking na makaapekto sa isang malawak na hanay ng mga target, na nagpapataas ng potensyal na kumita ng mas maraming pera.
Ang Pamumuhunan ng Hilagang Korea sa Hacking
Ang mga grupong ito ay may malaking negosyo, na may “mga pagtataya ng $1.6 bilyon sa cryptocurrency na ninakaw hanggang ngayon sa 2025,” aniya, idinadagdag na ang TraderTraitor at mga kaugnay na grupo ay may mga workforce na “malamang na nasa libu-libong tao,” na nagtatrabaho sa maraming at minsang nag-o-overlap na mga grupo.
“Habang mahirap makabuo ng tiyak na numero, malinaw na ang rehimen ng Hilagang Korea ay namumuhunan ng makabuluhang mga mapagkukunan sa mga kakayahang ito.” Sa huli, ang ganitong pamumuhunan ay nagbigay-daan sa Hilagang Korea na maging isang lider sa crypto hacking, na may isang ulat ng TRM Labs noong Pebrero na nagtatapos na ang bansa ay kumakatawan sa 35% ng lahat ng ninakaw na pondo noong nakaraang taon.
Hinaharap ng Hacking mula sa Hilagang Korea
“Ang mga banta mula sa Hilagang Korea ay isang dynamic at agile na puwersa na patuloy na umaangkop upang matugunan ang mga estratehikong at pinansyal na layunin ng rehimen,” sinabi ni Collier ng Google.
Ulitin na ang mga hacker mula sa Hilagang Korea ay lalong gumagamit ng AI, ipinaliwanag ni Collier na ang ganitong paggamit ay nagbibigay-daan sa “force multiplication,” na sa turn ay nagbigay-daan sa mga hacker na palakihin ang kanilang mga exploits. “Wala kaming nakitang ebidensya ng kanilang pagbagal at inaasahan ang patuloy na pagpapalawak na ito,” aniya.
