هکرهای کره شمالی با استفاده از آگهی‌های شغلی جعلی در حوزه IT و بدافزار، به سیستم‌های ابری شرکت‌های فعال در حوزه ارزهای دیجیتال نفوذ کرده و در سال جاری، میلیاردها دلار سرقت کرده‌اند.

گروه هکری UNC4899؛ شناسایی و نفوذ به شرکت‌ها از طریق فریب کارکنان

گزارش‌های جداگانه‌ای از گوگل کلاد و شرکت امنیتی ویز (Wiz) نشان می‌دهد که گروه‌های هکری کره شمالی با تظاهر به کارهای فریلنسری آی تی (IT)، دسترسی به سیستم‌های ابری پیدا کرده و ارزهای دیجیتالی به ارزش میلیون‌ها دلار سرقت کرده‌اند.

در گزارش کلاد تریت هورایزن (Cloud Threat Horizons) که مربوط به نیمه دوم سال ۲۰۲۵ از سوی گوگل کلاد منتشر شده است، تیم اطلاعات تهدیدات علیه گوگل به‌طور فعال در حال ردیابی گروه هکری کره شمالی با نام UNC4899 است؛ این گروه پس از تماس با کارکنان شرکت‌ها از طریق شبکه‌های اجتماعی، موفق به هک دو شرکت شده است.

در هر دو مورد، UNC4899 وظایفی به کارکنان محول کرده که باعث اجرای بدافزار روی رایانه‌های آن‌ها شده و در نتیجه، این گروه توانسته ارتباط بین مراکز فرماندهی خود و سیستم‌های ابری شرکت‌های هدف را برقرار کند.

جلب اعتماد قربانیان؛ استراتژی پیچیده هکرهای کره شمالی در حملات سایبری

در پی این اقدام، UNC4899 موفق شده به فضاهای ابری قربانیان دسترسی پیدا کرده، اطلاعات هویتی را استخراج و در نهایت سرورهای مرتبط با پردازش تراکنش‌های ارزهای دیجیتال را شناسایی کند.

در هر مورد، شرکت‌های هدف و سرویس‌های ابری مورد استفاده (از جمله گوگل کلاد و AWS) متفاوت بوده‌اند، اما در هر دو، میلیون‌ها دلار ارز دیجیتال به سرقت رفته است.

به گفته جیمی کالیر (Jamie Collier)، مشاور ارشد اطلاعات تهدیدات برای اروپا در تیم امنیت گوگل، استفاده از پیشنهادهای شغلی جعلی توسط هکرهای کره شمالی اکنون «کاملاً رایج و گسترده» است و این موضوع سطح بالایی از پیچیدگی را نشان می‌دهد.

او می‌گوید: «آن‌ها اغلب در نقش‌هایی مانند کارفرما، خبرنگار، کارشناس حوزه خاص یا استاد دانشگاه ظاهر می‌شوند و چندین بار با هدف ارتباط‌گیری و جلب اعتماد با قربانیان مکاتبه می‌کنند.»

اقدام سریع

کالیر در ادامه توضیح می‌دهد که مهاجمان کره شمالی از جمله اولین گروه‌هایی بودند که فناوری‌های نوظهور مانند هوش مصنوعی را به‌سرعت به کار گرفتند تا «ایمیل‌های ارتباط‌گیری متقاعدکننده‌تری» بنویسند و اسکریپت‌های مخرب خود را تولید کنند.

شرکت امنیت ابری ویز نیز در گزارشی به اقدامات UNC4899 پرداخته و اشاره کرده که این گروه با نام‌های (Jade)، (Sleet)، (TraderTraitor) و (Slow Pisces) نیز شناخته می‌شود.

به گفته شرکت ویز، (TraderTraitor) بیانگر نوعی فعالیت تهدیدآمیز است نه یک گروه خاص؛ و پشت بسیاری از این حملات گروه‌های وابسته به کره شمالی نظیر (BlueNoroff)، (APT38)، (Lazarus Group) و (Stardust Chollima) قرار دارند.

TraderTraitor؛ پنج سال عملیات سایبری سازمان‌یافته با تمرکز بر ارزهای دیجیتال

ویز در تحلیل خود از UNC4899 / TraderTraitor اشاره می‌کند که فعالیت‌های این گروه از سال ۲۰۲۰ آغاز شده و از همان ابتدا از پیشنهادهای شغلی جعلی برای فریب کارکنان و ترغیب آن‌ها به دانلود اپلیکیشن‌های ارز دیجیتال آلوده استفاده کرده‌اند. این اپلیکیشن‌ها با استفاده از جاوااسکریپت و (Node.js) و بر پایه چارچوب (Electron) ساخته شده‌اند.

به گفته ویز، این کمپین از سال ۲۰۲۰ تا ۲۰۲۲ توانسته چندین سازمان را با موفقیت مورد نفوذ قرار دهد؛ از جمله حمله ۶۲۰ میلیون دلاری گروه لازاروس به شبکه رونین (Ronin) متعلق به بازی اکسی اینفینیتی (Axie Infinity).

فعالیت تهدیدآمیز (TraderTraitor) در سال ۲۰۲۳ به استفاده از کدهای متن‌ باز مخرب گسترش یافت و در سال ۲۰۲۴ تمرکز خود را بر پیشنهادهای شغلی جعلی، به‌ویژه با هدف صرافی‌ها، دو برابر کرد.

مهم‌ترین حملات منتسب به گروه‌های (TraderTraitor) شامل هک ۳۰۵ میلیون دلاری صرافی دی ام ام بیت کوین (DMM Bitcoin) در ژاپن و همچنین هک ۱.۵ میلیارد دلاری صرافی بای بیت (Bybit) در اواخر سال ۲۰۲۴ است؛ که جزئیات آن در فوریه سال جاری منتشر شد.

هدف‌گیری فضای ابری

همان‌طور که گوگل اشاره کرده، این حملات در سطوح مختلف سیستم‌های ابری را هدف قرار داده‌اند و شرکت ویز نیز می‌گوید این سیستم‌ها یک نقطه ضعف قابل توجه برای حوزه ارزهای دیجیتال به‌شمار می‌روند.

بنجامین رید (Benjamin Read)، مدیر اطلاعات تهدیدات استراتژیک ویز، به رسانه دی کریپت (Decrypt) گفت: «ما معتقدیم گروه (TraderTraitor) روی حملات و تکنیک‌های مرتبط با فضای ابری تمرکز کرده‌اند، چرا که داده‌ها و در نتیجه پول‌ها در آنجا قرار دارند.»
او افزود: «این موضوع به‌ویژه برای صنعت رمزارز صادق است، جایی که شرکت‌ها نسبتاً نوپا هستند و احتمالاً زیرساخت‌های خود را به‌صورت اولویت‌دار ابری ساخته‌اند.»

رید توضیح داد که هدف قرار دادن فناوری‌های ابری به گروه‌های هکری امکان می‌دهد طیف گسترده‌تری از اهداف را تحت تاثیر قرار دهند و در نتیجه پتانسیل کسب درآمد بیشتری داشته باشند.

او گفت این گروه‌ها کسب‌وکار بزرگی دارند و برآورد می‌شود که تاکنون در سال ۲۰۲۵ حدود ۱.۶ میلیارد دلار ارز دیجیتال سرقت شده باشد. رید افزود که گروه (TraderTraitor) و گروه‌های مرتبط، احتمالاً هزاران نفر نیرو دارند که در تیم‌های متعدد و گاهی هم‌پوشان کار می‌کنند.

رید تاکید کرد:

در حالی که تعیین عدد دقیق دشوار است، واضح است که رژیم کره شمالی منابع قابل توجهی را در این حوزه سرمایه‌گذاری کرده است.

کره شمالی؛ پیشرو در هک‌های رمزارزی با سهم ۳۵ درصدی از سرقت‌های جهانی

این سرمایه‌گذاری باعث شده کره شمالی به یکی از پیشروهای هک ارزهای دیجیتال تبدیل شود؛ گزارشی از تی آ ام لبز (TRM Labs) در فوریه نشان می‌دهد که این کشور ۳۵ درصد از کل وجوه سرقت‌شده سال گذشته را به خود اختصاص داده است.

کارشناسان می‌گویند همه نشانه‌ها حاکی از آن است که کره شمالی برای مدتی طولانی همچنان در حملات سایبری مرتبط با رمزارز فعال باقی خواهد ماند، به‌ویژه با توجه به توانایی عوامل آن در توسعه تکنیک‌های جدید.

جیمی کالیر از گوگل گفت:

عوامل تهدید کره شمالی نیرویی پویا و چابک هستند که به‌طور مداوم خود را با اهداف استراتژیک و مالی رژیم تطبیق می‌دهند.

او دوباره تاکید کرد که هکرهای کره شمالی روزبه‌روز بیشتر از هوش مصنوعی استفاده می‌کنند، موضوعی که به آن‌ها «ضریب نیرو» می‌دهد و باعث شده حملاتشان در مقیاس بزرگ‌تری انجام شود.

کالیر گفت: «هیچ نشانه‌ای از کاهش سرعت آن‌ها مشاهده نمی‌کنیم و انتظار داریم این گسترش ادامه یابد.»