朝鲜网络特工将其覆盖范围扩大到了美国公司,以欧盟和英国的目标区块链初创企业为目标,以偏远的开发商为偏远的开发商,并留下了损害的数据和勒索尝试。
在报告Google威胁情报集团(GTIG)周二发布,透露,与大韩民国民主共和国(DPRK)相关的IT工人已经扩大了美国以外的业务,将自己嵌入了英国,德国,德国,葡萄牙和塞尔维亚的加密项目中。
妥协的项目包括区块链市场,AI Web应用程序以及索拉纳和锚/生锈智能合约.
一个案例涉及使用Next.js和CosMossDK构建Nodexa代币托管平台,而其他案例包括使用Mern堆栈和Solana建造的区块链就业市场,以及使用电子和尾风CSS开发AI-增强区块链工具。
GTIG顾问杰米·科利尔(Jamie Collier)在报告中说:“为了提高对美国境内威胁的认识,他们建立了一个全球欺诈性角色的生态系统,以增强运营敏捷性。”
报告指出,一些工人使用贝尔格莱德大学的学位,斯洛伐克的虚假居住文件以及浏览欧洲工作平台的指导,一次运营12个假身份。
科利尔说,位于英国和美国的促进者帮助这些行为者绕过ID检查,并通过Transferwise,Payoneer和Crypto获得付款,实际上隐藏了流回朝鲜政权的资金来源。
GTIG报告说,工人正在为朝鲜政权创造收入,美国,日语和韩国使节此前曾被指控使用海外IT专家,包括从事恶意网络活动的专家,以帮助资助其认可的武器计划。
Collier警告说:“这使雇用DPRK IT工人的组织面临受到间谍活动,数据盗窃和破坏的风险。”
自2024年10月以来,GTIG观察到勒索威胁的[激增],因为裁员的开发商已开始勒索前雇主,威胁要泄漏源代码和专有文件。
GTIG指出,这种侵略性的上升与“对朝鲜IT工人的执法行动加强,包括中断和起诉。”
去年12月,美国国库外国资产控制办公室(OFAC)批准了两个中国国民为了洗钱数字资产来为朝鲜政府提供资金,使用与平壤政权相关的一家基于阿联酋的前沿公司。
然后,在一月份司法部起诉两个朝鲜国民用于运营欺诈性的IT工作计划,该计划在2018年至2024年之间至少渗透了64家公司。
3月,范式安全研究员Samczsun警告说,朝鲜网络策略远远超出了国家支持的拉撒路集团,它与历史上一些最大的加密货币相关。
Samczsun写道:“ DPRK黑客对我们行业的威胁不断增长,”概述了TraderTraitor和Applejeus等亚组网的网络,该小组专门从事社会工程,虚假的工作优惠和供应链攻击。
2月,黑客与拉撒路绑在一起椅子14亿美元来自加密交易所Bybit,后来资金通过硬币搅拌机和 dex.
当加密货币行业倾向于偏远的人才和带来自己的设备(BYOD)环境时,GTIG警告说,许多初创公司缺乏适当的监控工具来检测此类威胁。
科利尔说,这正是朝鲜开发的重点:“全球基础设施和支持网络的迅速形成,赋予其持续运营的能力。”
