Северокорейские хакерские группировки активизировали атаки, используя в качестве приманки предложения удаленной работы в IT и криптовалютной сферах.

Цель — получить доступ к облачным инфраструктурам компаний и похитить цифровые активы. Согласно свежему отчету Google Cloud, подразделение Google Threat Intelligence Group внимательно наблюдает за деятельностью группировки UNC 4899 (также известной как TraderTraitor, Jade Sleet или Slow Pisces) — северокорейской киберструктуры, связанной с Lazarus Group и Kimsuky.

По данным отчета, UNC 4899 удалось взломать две компании, предварительно установив контакт с их сотрудниками через соцсети. Злоумышленники передавали задания, при выполнении которых на устройствах сотрудников запускалось вредоносное ПО. Это позволяло хакерам установить связь между своими серверами управления и облачными средами компаний-жертв.

После проникновения UNC 4899 проводила разведку в инфраструктуре, собирая учетные данные и выявляя узлы, обслуживающие криптовалютные транзакции. Несмотря на то, что атаки были направлены на разные компании и использовали разные облачные платформы (Google Cloud и AWS), результат оказался одинаковым — ущерб составил миллионы долларов.

С начала 2025 года северокорейским киберпреступникам уже удалось похитить криптовалюту на сумму около $1.6 млрд.

Северная Корея уверенно лидирует по объему украденных криптоактивов, отвечая за 35% всех подобных краж в прошлом году.