Punti chiave
Kimsuky, un gruppo di hacker nordcoreano sostenuto dallo stato, ha implementato un nuovo malware chiamato “Durian” con l’intenzione di lanciare attacchi alle aziende crittografiche che operano nella vicina Corea del Sud.
Secondo un rapporto sulle minacce del 9 maggio della società di sicurezza informatica Kaspersky, Kimusky ha utilizzato Durain in una serie di attacchi mirati contro almeno due società di criptovaluta.
Il gruppo di hacker nordcoreano Kimsuky distribuisce un nuovo malware multifunzionale per sfruttare le aziende crittografiche
Il malware precedentemente sconosciuto, caratterizzato dalle sue capacità backdoor multifunzionali, ha eseguito un attacco “persistente” sfruttando software di sicurezza legittimo utilizzato esclusivamente dalle società IT e crittografiche sudcoreane.
Durian funge da programma di installazione che distribuisce un flusso continuo di malware, inclusa una backdoor nota come “AppleSeed”, uno strumento proxy personalizzato chiamato “LazyLoad” e altri strumenti legittimi come Chrome Remote Desktop per eseguire comandi, scaricare file ed estrarre dati dai computer delle vittime.
Kaspersky ha scoperto un potenziale collegamento tra Kimsuky e il famigerato Lazarus Group nell’implementazione del ceppo di malware. Lazarus è un’entità di hacking che guida lo spionaggio informatico della Corea del Nord prendendo di mira il settore delle criptovalute.
Il famigerato gruppo di hacker è entrato in scena per la prima volta nel 2009 e da allora si è affermato come uno dei cyber hacker più pericolosi.
Il gruppo Lazarus è responsabile del furto di 3 miliardi di dollari in criptovalute dal 2017
L’investigatore della blockchain ZachXBT ha rivelato che il Gruppo Lazarus è riuscito a riciclare con successo oltre 200 milioni di dollari in criptovalute illecite tra il 2020 e il 2023. Secondo la società di sicurezza informatica statunitense Recorded Future, da allora gli hacker associati al gruppo hanno rubato circa 3 miliardi di dollari in varie criptovalute 2017, mentre più della metà dell’importo arriverà nel 2022.
Recorded Future ha evidenziato nel suo rapporto che la quantità di criptovalute rubate equivale a circa la metà dell’intero budget militare della Corea del Nord per quell’anno e al 5% dell’economia del paese. Inoltre, l’importo rubato è 10 volte superiore al reddito annuo totale che la nazione ha ricavato dalle sue esportazioni nel 2021, pari a 182 milioni di dollari.
Il rapporto indica che Lazarus Group ha inizialmente preso di mira la Corea del Sud per le sue criptovalute, prima di espandere le proprie operazioni in altre parti del mondo. Hanno iniziato sfruttando le società finanziarie tradizionali per poi spostare l’attenzione sulla nuova tecnologia della finanza digitale.
Lo scorso novembre, l’Ufficio di controllo dei beni esteri del Tesoro degli Stati Uniti ha imposto sanzioni al mixer di criptovalute Sinbad. L’autorità di regolamentazione ha affermato che la piattaforma aveva legami con Lazarus Group, facilitando il riciclaggio di criptovalute rubate per conto del gruppo di hacker.
Un rapporto riservato delle Nazioni Unite dello scorso anno ha rivelato che gli hacker nordcoreani sono stati responsabili del furto di più criptovalute nel 2022 che in un altro anno. Il rapporto presentato al comitato per le sanzioni nordcoreano, composto da 15 membri, ha rilevato che gli hacker legati allo stato hanno rubato tra 630 milioni di dollari e più di 1 miliardo di dollari in criptovalute da reti di società straniere del settore aerospaziale e della difesa.
Gli hacker nordcoreani sono la forza trainante dietro agli exploit DeFi da 1,1 miliardi di dollari nel 2022
La società di analisi blockchain Chainalysis ha definito il sindacato dei criminali informatici “gli hacker di criptovalute più prolifici” degli ultimi anni. Chainalysis ha affermato che gli hacker nordcoreani erano collegati ad almeno 1,7 miliardi di dollari di criptovalute rubate nel 2022, considerato l’anno più redditizio per gli hacker di criptovalute.
Almeno 1,1 miliardi di dollari di questo bottino sono stati prelevati da protocolli di finanza decentralizzata (DeFi), rendendo la Corea del Nord una delle forze trainanti dietro la tendenza dell’hacking DeFi esplosa nel 2022.
Gran parte di questi beni rubati sono stati inviati a piattaforme di token mixing come Tornado Cash e Sinbad, nel tentativo di oscurare le transazioni.
La Corea del Nord ha ripetutamente negato queste accuse, ma il rapporto delle Nazioni Unite afferma che il principale ufficio di intelligence del paese, il Reconnaissance General Bureau, lavora con gruppi di hacker come Kimsuky, Lazarus e Andariel specificamente per gli attacchi informatici.
Nel 2023, oltre 1,8 miliardi di dollari in criptovalute sono andati persi a causa di vari hack ed exploit. La società di sicurezza informatica Web3 Immunefi ha attribuito a Lazarus Group il merito di aver contribuito a oltre il 17% – quasi 300 milioni di dollari – del totale dei fondi rubati lo scorso anno.
Più notizie: I giganti bancari statunitensi Wells Fargo e JPMorgan rivelano l’esposizione agli ETF Bitcoin
