Berbagai cluster kegiatan ancaman yang terkait dengan Korea Utara (alias Republik Rakyat Demokratik Korea atau DPRK) telah dikaitkan dengan serangan yang menargetkan organisasi dan individu di Web3 dan ruang cryptocurrency.
“Fokus pada Web3 dan cryptocurrency tampaknya terutama termotivasi secara finansial karena sanksi berat yang telah ditempatkan pada Korea Utara,” kata Google-Owned Mandiant dalam laporan M-Trends untuk 2025 yang dibagikan dengan Hacker News.
“Kegiatan -kegiatan ini bertujuan untuk menghasilkan keuntungan finansial, dilaporkan mendanai program Weapons of Restruction (WMD) Korea Utara dan aset strategis lainnya.”
Perusahaan cybersecurity mengatakan aktor ancaman DPRK-Nexus telah mengembangkan alat khusus yang ditulis dalam berbagai bahasa seperti Golang, C ++, dan Rust, dan mampu menginfeksi sistem operasi Windows, Linux, dan MacOS.
Setidaknya tiga kluster aktivitas ancaman yang dilacaknya sebagai UNC1069, UNC4899, dan UNC5342 telah ditemukan untuk menargetkan anggota komunitas cryptocurrency dan pengembangan blockchain, khususnya yang berfokus pada pengembang yang bekerja pada proyek yang berdekatan Web3 untuk mendapatkan akses ilegal ke dompet cryptocurrency dan organisasi yang mempekerjakan mereka.
Deskripsi singkat dari masing -masing aktor ancaman di bawah ini –
- UNC1069 (Aktif sejak setidaknya April 2018), yang menargetkan beragam industri untuk keuntungan finansial menggunakan taktik rekayasa sosial dengan mengirimkan undangan pertemuan palsu dan menyamar sebagai investor dari perusahaan terkemuka di telegram untuk mendapatkan akses ke aset digital dan cryptocurrency korban
- UNC4899 (Aktif sejak 2022), yang dikenal karena mengatur kampanye bertema pekerjaan yang memberikan malware sebagai bagian dari penugasan pengkodean yang seharusnya dan sebelumnya telah menggelar rantai pasokan kompromi untuk keuntungan finansial (tumpang tindih dengan Jade Sleet, Pukchong, Slow Pisces, Tradertraitor, dan UNC4899)
- UNC5342 (Aktif sejak Januari 2024), yang juga dikenal karena menggunakan umpan terkait pekerjaan untuk menipu pengembang untuk menjalankan proyek-proyek yang dilacak malware (tumpang tindih dengan wawancara menular, pengembangan yang menipu, Dev#Popper, dan Chollima yang terkenal)
Aktor ancaman Note Korea Utara lainnya adalah UNC4736, yang telah memilih industri blockchain dengan menggunakan aplikasi perangkat lunak perdagangan trojanizing dan telah dikaitkan dengan serangan rantai pasokan yang mengalir pada 3CX pada awal 2023.
Mandiant mengatakan juga mengidentifikasi kelompok terpisah dari kegiatan Korea Utara yang dilacak sebagai UNC3782 yang melakukan kampanye phishing skala besar yang menargetkan sektor cryptocurrency.
“Pada tahun 2023, UNC3782 melakukan operasi phishing terhadap pengguna Tron dan mentransfer lebih dari $ 137 juta aset USD dalam satu hari,” kata perusahaan itu. “UNC3782 meluncurkan kampanye pada tahun 2024 untuk menargetkan pengguna Solana dan mengarahkan mereka ke halaman yang berisi drainer cryptocurrency.”
Pencurian cryptocurrency adalah salah satu dari beberapa cara DPRK telah mengejar untuk menghindari sanksi internasional. Setidaknya sejak tahun 2022, sebuah gugus ancaman aktif yang dijuluki UNC5267 telah mengirim ribuan warganya untuk mengamankan pekerjaan pekerjaan terpencil di perusahaan -perusahaan di AS, Eropa, dan Asia sementara terutama tinggal di Cina dan Rusia.
Sebagian besar pekerja TI dikatakan berafiliasi dengan 313 Biro Umum Departemen Industri Munisi, yang bertanggung jawab atas program nuklir di Korea Utara.
Pekerja TI Korea Utara, selain memanfaatkan identitas curian, telah menggunakan persona yang sepenuhnya dibuat -buat untuk mendukung kegiatan mereka. Ini juga dilengkapi dengan penggunaan teknologi Deepfake real-time untuk menciptakan identitas sintetis yang meyakinkan selama wawancara kerja.
“Ini menawarkan dua keunggulan operasional utama. Pertama, ini memungkinkan operator tunggal untuk wawancara untuk posisi yang sama beberapa kali menggunakan kepribadian sintetis yang berbeda,” kata peneliti Palo Alto Networks Unit 42 Evan Gordenker.
“Kedua, ini membantu para operator menghindari diidentifikasi dan ditambahkan ke buletin keamanan dan pemberitahuan yang ingin. Gabungan, ini membantu DPRK IT pekerja menikmati keamanan operasional yang ditingkatkan dan penurunan kemampuan mendeteksi.”
Skema Pekerja TI DPRK, yang membawa ancaman orang dalam ke tingkat yang sama sekali baru, direkayasa untuk menyalurkan kembali gaji mereka ke Pyongyang untuk memajukan tujuan strategisnya, mempertahankan akses jangka panjang ke jaringan korban, dan bahkan memeras pemberi kerja mereka.
“Mereka juga mengintensifkan kampanye pemerasan terhadap pengusaha, dan mereka telah pindah untuk melakukan operasi di desktop virtual perusahaan, jaringan, dan server,” kata Jamie Collier dan Michael Barnhart dari Google Ancaman Intelijen (GTIG) dalam sebuah laporan bulan lalu.
“Mereka sekarang menggunakan akses istimewa mereka untuk mencuri data dan mengaktifkan serangan cyber, selain menghasilkan pendapatan untuk Korea Utara.”
Pada tahun 2024, Mandiant mengatakan bahwa pihaknya mengidentifikasi seorang pekerja TI DPRK yang diduga menggunakan setidaknya 12 persona sambil mencari pekerjaan di AS dan Eropa, menyoroti efektivitas beralih ke metode yang tidak konvensional untuk menyusup ke organisasi dengan kepura -puraan palsu.
“Dalam setidaknya satu contoh, dua identitas palsu dipertimbangkan untuk pekerjaan di perusahaan AS, dengan satu pekerja IT DPRK menang atas yang lain,” tandas perusahaan intelijen ancaman. Dalam contoh lain, “Empat yang diduga pekerja DPRK telah dipekerjakan dalam periode 12 bulan di satu organisasi.”
