Хакерські угруповання, пов’язані з Північною Кореєю, значно активізували свою діяльність та здійснили масштабні атаки на криптовалютні компанії у 2025 році, заволодівши активами на понад $1,6 млрд. Про це йдеться у звіті Google Cloud та компанії Wiz.
Про це розповідає Бізнес • Медіа
Схеми атак та нові технології
За даними фахівців, злочинці використовували низку витончених методів, зокрема фальшиві пропозиції роботи для працівників криптокомпаній та складне шкідливе програмне забезпечення для доступу до хмарних середовищ. Особливу увагу хакери приділили соціальній інженерії: вони маскувалися під рекрутерів, журналістів або експертів, активно спілкувалися з потенційними жертвами в соцмережах та залучали штучний інтелект для переконливого листування.
Група UNC4899, також відома як TraderTraitor, Jade Sleet та Slow Pisces, була особливо активною у 2025 році. Вона здійснила успішні атаки на дві великі компанії, надсилаючи їхнім співробітникам так звані «тестові завдання», які насправді містили шкідливі скрипти. Після їх виконання зловмисники отримували віддалений доступ до хмарних систем, викрадали облікові дані та визначали вузли, що відповідають за обробку криптотранзакцій.
Атаки були спрямовані на різні компанії та хмарні сервіси, зокрема Google Cloud та AWS. В обох випадках результатом став витік кількох мільйонів доларів у криптовалютах.
Еволюція діяльності та наймасштабніші атаки
За інформацією компанії Wiz, TraderTraitor — це серія атак, за якими стоять і такі групи, як Lazarus Group, APT38, BlueNoroff і Stardust Chollima. Кампанії розпочалися ще у 2020 році із зараження шкідливими криптозастосунками на JavaScript (Electron), а у 2023 році група почала впроваджувати шкідливий відкритий код. Вже у 2024–2025 роках хакери масово використовували фейкові IT-вакансії, особливо для атак на криптобіржі.
Серед найгучніших випадків — злом японської біржі DMM Bitcoin із втратою $303 млн та злом біржі Bybit на $1,5 млрд, про який стало відомо у лютому 2025 року.
«Вони активно будують довіру, спілкуються кілька разів і використовують штучний інтелект для створення більш правдоподібного листування».
Експерти Google Threat Intelligence Group підкреслюють, що хакери з КНДР зосереджуються на хмарних атаках, адже саме у хмарних сервісах зберігаються ключові дані та фінансові ресурси криптоіндустрії. За оцінками, до TraderTraitor можуть належати тисячі осіб, що працюють у кількох паралельних або тісно пов’язаних групах.
Раніше стало відомо, що лише за перше півріччя 2025 року криптовалютна галузь втратила понад $2,1 млрд через хакерські атаки. Google застерігає, що масштаби атак тільки зростають.
«Ми не бачимо жодних ознак уповільнення їхніх атак і очікуємо подальшого масштабування», — наголосив Коллієр.
Окрім того, у квітні 2025 року експерти Google Threat Intelligence Group виявили нові методи роботи північнокорейських хакерів. Також відомо про нещодавній вирок у США: американська громадянка отримала 8,5 років ув’язнення за допомогу північнокорейським хакерам у влаштуванні на роботу до американських компаній.