.
Barnhart diz que a Coréia do Norte percebeu que confiar em outras pessoas – como as mulas de dinheiro – poderia tornar suas operações menos eficazes. Em vez disso, eles poderiam roubar criptomoedas. Dois grupos emergiram daquela mudança tática, diz Barnhart, Cryptocore e Tradertraator. “Tradertrator é o mais sofisticado de todos”, diz ele. “E por quê? Porque o Apt38 era o time A.”
Desde então, o Tradertrator está ligado a vários roubos de criptomoeda em larga escala nos últimos anos. Por exemplo, o roubo de março de 2024 de US $ 308 milhões da empresa de criptomoedas do Japão DMM foi vinculado ao Tradertrator pelo FBI, Departamento de Defesa e Polícia no Japão.
O Tradertrator normalmente tem como alvo as pessoas que trabalham em empresas da Web3 usando mensagens de phishing de lança-na maioria das vezes, pessoas que trabalham no desenvolvimento de software. “Eles conhecem os indivíduos que trabalham nessas empresas, os rastreiam, têm perfis neles, sabem quais plataformas de negociação estão fazendo mais volume. Eles estão focados em toda a indústria, entendem -o para trás e para frente”, diz Degrippo da Microsoft.
Github, que é de propriedade da Microsoft, destacado em Julho de 2023 Como o Tradertraator criou contas falsas na plataforma de codificação, além do LinkedIn, Slack e Telegram. Os criminosos do Tradertrator podem criar personas falsas que usam para enviar suas metas ou usar contas reais que foram invadidas, diz a pesquisa do Github. Nesse caso, o Tradertraator convidou os desenvolvedores a colaborar no Github, antes de infectar com malware usando código malicioso. Recentemente, pesquisadores de segurança da equipe de inteligência da Unidade 42 da Unidade 42 da Palo Alto Networks encontraram 50 perfis de recrutador norte -coreano no LinkedIn e ligou -os de volta ao Tradertrator.
O grupo foi visto usando “backdoors personalizados”, como Plottwist e TIE DYEesse alvo MacOS, diz Adrian Hernandez, analista sênior de ameaças do grupo de inteligência de ameaças do Google. “Eles geralmente são fortemente ofuscados para evitar a detecção e a análise de frustração”, diz Hernandez. “Uma vez UNC4899 [TraderTraitor] Obteve acesso a credenciais válidas, observamos esse ator de ameaças se movendo lateralmente e acessa outras contas para acessar hosts e sistemas, mantendo um perfil baixo e com o objetivo de evitar a detecção. ”
Uma vez que os hackers norte -coreanos têm as mãos em criptomoedas ou carteiras digitais, a lavagem de dinheiro geralmente segue um padrão semelhante, como a empresa de rastreamento de criptomoedas Elliptic Elliptic descrito em uma postagem de blog quebrando o hack do bybit. Para evitar que as carteiras de criptomoeda congeladas, elas rapidamente trocam os tokens roubados – que são frequentemente emitidos por entidades centralizadas e podem ter restrições sobre elas – para ativos de criptomoeda mais convencionais, como éter e bitcoin, mais difíceis de limitar.
“A segunda etapa do processo de lavagem é ‘camada’ os fundos roubados para tentar ocultar a trilha da transação”, escreve Elliptic. Isso significa dividir os fundos em quantidades menores e enviá -las para várias carteiras. Com o Bybit, escreve Elliptic, o dinheiro foi enviado para 50 carteiras diferentes que foram esvaziadas nos próximos dias. Essa criptomoeda é então movida por várias trocas de criptomoedas, convertidas em Bitcoin e passadas por misturadores de criptografia que visam obscurecer transações criptográficas.
“A Coréia do Norte é o lavador mais sofisticado e bem-runcado dos ativos de criptografia existente, adaptando continuamente suas técnicas para evitar a identificação e a apreensão de ativos roubados”, diz Elliptic em seu Postagem do blog.
.
