O dispositivo comprometido pelos trabalhadores norte -coreanos de TI revelou os mecanismos internos da equipe por trás do hack de US $ 680.000 favrr e o uso de ferramentas do Google para direcionar projetos de criptografia.
resumo
Um dispositivo comprometido pertencente aos trabalhadores norte -coreanos de TI expôs os mecanismos internos dos atores de ameaças. As evidências mostram que os agentes usaram ferramentas movidas ao Google, Anydesk e VPN para infiltrar as empresas de criptografia.
De acordo com a assassinato na cadeia, a trilha começou com uma fonte não identificada que acessou um dos computadores dos trabalhadores, descobrindo capturas de tela, exportações do Google Drive e perfis cromados e retirou as cortinas sobre como os agentes os planejaram e executaram.
Com base em uma impressão digital digital que corresponde à atividade da carteira, o ZACHXBT confirmou o material de origem e vinculou as transações de criptomoeda do grupo a usar mal o FAVRR do mercado de token de fãs em junho de 2025. Uma carteira “0x78E1a” forneceu um vínculo direto para os fundos do incidente.
Em operação
Os dispositivos comprometidos mostraram que um pequeno número de equipes (6 membros no total) compartilhava pelo menos 31 identidades falsas. Para fazer com que os empregos em desenvolvimento de blockchain por terminassem, eles acumularam IDs e números de telefone emitidos pelo governo, compraram contas do LinkedIn e Upwork para concluir a cobertura.
Os scripts da entrevista encontrados no dispositivo mostraram que eles ostentavam experiência com empresas de blockchain conhecidas, incluindo Polygon Lab, OpenSia e Chain Link.
As ferramentas do Google estavam no centro de um fluxo de trabalho organizado. Verificou -se que os atores de ameaças usam planilhas de acionamento para rastrear orçamentos e horários, mas o Google Translate preencheu a lacuna de idiomas entre a Coréia e o inglês.
Entre as informações extraídas do dispositivo, havia uma planilha indicando que os trabalhadores alugavam um computador, pagavam pelo acesso à VPN e comprariam uma nova conta para operações.
A equipe também se baseou em ferramentas de acesso remoto, como o Anydesk, permitindo que eles controlassem o sistema do cliente sem revelar sua localização real. Os logs da VPN vincharam a atividade a várias regiões e esconderam os endereços IP da Coréia do Norte.
As descobertas adicionais revelam que o grupo está considerando maneiras de implantar tokens em várias blockchains, explorar as empresas européias de IA e mapeando novos alvos no espaço criptográfico.
Os atores de ameaças norte -coreanos usam trabalho remoto
O ZACHXBT descobriu o mesmo padrão em que vários relatórios de segurança cibernética são sinalizados. Os trabalhadores norte -coreanos de TI conseguiram empregos remotos legítimos para cair no setor de criptografia. Você pode acessar repositórios de código, sistemas de back -end e infraestrutura da carteira, posar como desenvolvedor freelancer.
Um dos documentos descobertos no dispositivo foram as anotações da entrevista e os materiais preparatórios destinados a serem mantidos na tela ou perto do local durante uma chamada com um empregador em potencial.
