Хакерские группировки, связанные с Северной Кореей, значительно активизировали свою деятельность и осуществили масштабные атаки на криптовалютные компании в 2025 году, завладев активами на сумму более $1,6 млрд. Об этом говорится в отчете Google Cloud и компании Wiz.
Об этом сообщает Бизнес • Медиа
Схемы атак и новые технологии
По данным специалистов, преступники использовали ряд изощренных методов, в том числе фальшивые предложения о работе для сотрудников криптокомпаний и сложное вредоносное программное обеспечение для доступа к облачным средам. Особое внимание хакеры уделили социальной инженерии: они маскировались под рекрутеров, журналистов или экспертов, активно общались с потенциальными жертвами в соцсетях и привлекали искусственный интеллект для убедительной переписки.
Группа UNC4899, также известная как TraderTraitor, Jade Sleet и Slow Pisces, была особенно активна в 2025 году. Она провела успешные атаки на две крупные компании, отправляя их сотрудникам так называемые «тестовые задания», которые на самом деле содержали вредоносные скрипты. После их выполнения злоумышленники получали удаленный доступ к облачным системам, похищали учетные данные и определяли узлы, отвечающие за обработку криптотранзакций.
Атаки были направлены на различные компании и облачные сервисы, в том числе Google Cloud и AWS. В обоих случаях результатом стал утечка нескольких миллионов долларов в криптовалютах.
Эволюция деятельности и самые масштабные атаки
По информации компании Wiz, TraderTraitor — это серия атак, за которыми стоят и такие группы, как Lazarus Group, APT38, BlueNoroff и Stardust Chollima. Кампании начались еще в 2020 году с заражения вредоносными криптозаявками на JavaScript (Electron), а в 2023 году группа начала внедрять вредоносный открытый код. Уже в 2024–2025 годах хакеры массово использовали фейковые IT-вакансии, особенно для атак на криптобиржи.
Среди самых громких случаев — взлом японской биржи DMM Bitcoin с потерей $303 млн и взлом биржи Bybit на $1,5 млрд, о котором стало известно в феврале 2025 года.
«Они активно строят доверие, общаются несколько раз и используют искусственный интеллект для создания более правдоподобной переписки».
Эксперты Google Threat Intelligence Group подчеркивают, что хакеры из КНДР сосредоточены на облачных атаках, ведь именно в облачных сервисах хранятся ключевые данные и финансовые ресурсы криптоиндустрии. По оценкам, к TraderTraitor могут принадлежать тысячи человек, работающих в нескольких параллельных или тесно связанных группах.
Ранее стало известно, что только за первое полугодие 2025 года криптовалютная отрасль потеряла более $2,1 млрд из-за хакерских атак. Google предупреждает, что масштабы атак только растут.
«Мы не видим никаких признаков замедления их атак и ожидаем дальнейшего масштабирования», — подчеркнул Коллиер.
Кроме того, в апреле 2025 года эксперты Google Threat Intelligence Group обнаружили новые методы работы северокорейских хакеров. Также известно о недавнем приговоре в США: американская гражданка получила 8,5 лет тюремного заключения за помощь северокорейским хакерам в трудоустройстве в американские компании.