Pihak berwenang Jepang dan AS sebelumnya mengaitkan pencurian mata uang kripto senilai $308 juta dari perusahaan mata uang kripto DMM Bitcoin pada Mei 2024 kepada pelaku siber Korea Utara.
“Pencurian ini berafiliasi dengan aktivitas ancaman TraderTraitor, yang juga dilacak sebagai Jade Sleet, UNC4899, dan Slow Pisces,” kata agensi tersebut. “Aktivitas TraderTraitor sering kali ditandai dengan rekayasa sosial yang ditargetkan pada beberapa karyawan di perusahaan yang sama secara bersamaan.”
Peringatan ini berasal dari Biro Investigasi Federal AS, Pusat Kejahatan Siber Departemen Pertahanan, dan Badan Kepolisian Nasional Jepang. Perlu dicatat bahwa DMM Bitcoin menghentikan operasinya awal bulan ini.
TraderTraitor mengacu pada kelompok aktivitas ancaman persisten yang terkait dengan Korea Utara yang memiliki sejarah menargetkan perusahaan-perusahaan di sektor Web3, memikat korban untuk mengunduh aplikasi mata uang kripto yang mengandung malware dan pada akhirnya memfasilitasi pencurian. Diketahui aktif setidaknya sejak tahun 2020.
Dalam beberapa tahun terakhir, kru peretas telah mengatur serangkaian serangan yang memanfaatkan kampanye rekayasa sosial bertema pekerjaan atau menjangkau calon target dengan dalih berkolaborasi dalam proyek GitHub, yang kemudian mengarah pada penerapan paket npm berbahaya.
Namun kelompok ini mungkin paling dikenal karena menyusup dan mendapatkan akses tidak sah ke sistem JumpCloud untuk menargetkan sekelompok kecil pelanggan hilir tahun lalu.
Rantai serangan yang didokumentasikan oleh FBI juga sama di mana pelaku ancaman menghubungi seorang karyawan di perusahaan perangkat lunak dompet mata uang kripto yang berbasis di Jepang bernama Ginco pada bulan Maret 2024, menyamar sebagai perekrut dan mengirimi mereka URL ke skrip Python berbahaya yang dihosting di GitHub. sebagai bagian dari tes pra-kerja yang seharusnya.
Korban, yang memiliki akses ke sistem manajemen dompet Ginco, kemudian disusupi setelah mereka menyalin kode Python ke halaman GitHub pribadinya.
Musuh berpindah ke fase serangan berikutnya pada pertengahan Mei 2024 ketika mereka mengeksploitasi informasi cookie sesi untuk menyamar sebagai karyawan yang disusupi dan berhasil memperoleh akses ke sistem komunikasi Ginco yang tidak terenkripsi.
“Pada akhir Mei 2024, para pelaku kemungkinan besar menggunakan akses ini untuk memanipulasi permintaan transaksi yang sah oleh karyawan DMM, yang mengakibatkan hilangnya 4,502.9 BTC, senilai $308 juta pada saat serangan terjadi,” kata agensi tersebut. “Dana yang dicuri akhirnya dipindahkan ke dompet yang dikendalikan TraderTraitor.”
Pengungkapan ini terjadi tak lama setelah Chainalysis mengaitkan peretasan DMM Bitcoin dengan aktor ancaman Korea Utara, yang menyatakan bahwa para penyerang menargetkan kerentanan dalam infrastruktur untuk melakukan penarikan yang tidak sah.
“Penyerang memindahkan kripto senilai jutaan dolar dari DMM Bitcoin ke beberapa alamat perantara sebelum akhirnya mencapai Layanan Pencampuran Bitcoin CoinJoin,” kata perusahaan intelijen blockchain.
“Setelah berhasil mencampurkan dana yang dicuri menggunakan Bitcoin CoinJoin Mixing Service, para penyerang memindahkan sebagian dana melalui sejumlah layanan penghubung, dan akhirnya ke HuiOne Guarantee, sebuah pasar online yang terkait dengan konglomerat Kamboja, HuiOne Group, yang sebelumnya terungkap sebagai pemain penting dalam memfasilitasi kejahatan dunia maya.”
Perkembangan ini juga terjadi ketika Pusat Intelijen Keamanan AhnLab (ASEC) mengungkapkan bahwa aktor ancaman Korea Utara dengan nama sandi Andariel, sub-cluster dalam Grup Lazarus, menerapkan pintu belakang SmallTiger sebagai bagian dari serangan yang menargetkan solusi manajemen aset dan sentralisasi dokumen Korea Selatan. .
