Os trabalhadores norte -coreanos de TI estão usando identidades falsas para se infiltrar em empresas criptográficas e roubar milhões de ativos digitais por meio de fraude de emprego remoto, pesquisadores de segurança cibernética do Google Cloud e Wiz Warn.
resumo
Os agentes do ator de ameaças norte -coreanos UNC4899 estão cada vez mais visando empresas de criptografia. Os ambientes do Google Cloud e da AWS estão sendo utilizados por grupos para roubo de criptografia de vários milhões de dólares.
Relatórios separados emitidos pelas empresas rastrearam a UNC4899, também conhecida como Tradertrator, um grupo de ameaças norte -coreanas relacionado à inteligência militar do país.
De acordo com o Relatório H2 2025 da Horizons Horizons do Google Cloud, a UNC4899 opera sob o Departamento Geral de Reconhecimento, a principal agência de relatórios de inteligência estrangeira da Coréia do Norte.
O grupo está ativo desde pelo menos 2020, com foco nos setores de blockchain e criptomoeda, alavancando táticas avançadas de engenharia social e tecnologias de ataque específicas da nuvem.
Como a UNC4899 penetrará no ambiente da nuvem?
O Google descreveu dois incidentes separados nos quais a UNC4899 comprometeu funcionários de várias organizações. Um usa o Google Cloud e o outro usa AWS. Nos dois casos, os hackers representaram como recrutadores de empregos freelancers e abordaram os funcionários no LinkedIn ou Telegram.
Depois que o contato foi estabelecido, eles convenceram a vítima a administrar um contêiner malicioso em suas estações de trabalho e lançaram um backdoor com um download que criou um link para a infraestrutura controlada por atacantes.
Dentro de alguns dias, o grupo se moveu de lado pela rede interna, coletando credenciais e identificando a infraestrutura usada para processar transações de criptografia.
Em um caso, a UNC4899 conseguiu desativar a autenticação multifutora em uma conta privilegiada do Google Cloud para acessar serviços relacionados à carteira. Depois de roubar milhões de dólares em cifras, eles reativaram o MFA para evitar a detecção.
Em outro incidente relacionado à AWS, o invasor usou uma chave de acesso a longo prazo roubada, mas enfrentou restrições devido ao direito temporário e ao uso obrigatório de políticas de MFA. Eles ignoraram essas defesas roubando cookies de sessão e foram capazes de manipular arquivos JavaScript armazenados nos baldes da AWS S3.
Esses arquivos redirecionam as interações da carteira criptográfica e redirecionam endereços controlados por atacantes, levando a milhões de dólares.
Operações em larga escala
A empresa de segurança em nuvem Wiz também analisou a UNC4899 e publicou resultados individuais da pesquisa que correspondem ao Google’s.
Especialistas de Wiz observaram que o grupo passa lentamente por vários alias como Jade Sozo, Peixes, traidores de comerciantes, cada um se referindo a uma ampla gama de táticas usadas por várias entidades de apoio ao estado norte-coreano, como Lazarus Group, Brunolov e Apt38.
A UNC4899 está ativa desde 2020, mas em um relatório recente afirma que o recrutamento falso se tornou uma tática central até 2023, visando funcionários em trocas de criptografia em particular.
Entre as violações mais notáveis causadas pelo grupo estão o hack de US $ 305 milhões do DMM Bitcoin do Japão e a violação de US $ 1,5 bilhão no final de 2024.
Com muitas empresas de criptografia, operam em ambientes em nuvem, onde as defesas locais são limitadas e, nesses ataques, a infraestrutura da nuvem é um ponto de entrada ou exploração consistente.
Milhões de criptografia perdida
As estimativas de danos financeiros variam, mas permanecem consistentemente altos. De acordo com o Google e o WIZ, apenas a UNC4899 teve milhões de dólares roubados em cada incidente, mas números mais amplos compilados por pesquisadores privados e agências governamentais mostram perdas ainda maiores.
Um relatório de 2024 da empresa de análise de blockchain Cha -ChaLalysis descobriu que hackers norte -coreanos roubaram US $ 1,34 bilhão em código somente naquele ano. Mais recentemente, os pesquisadores do WIZ estimaram que os atores de ameaças relacionados à Coréia do Norte aumentaram US $ 1,6 bilhão em ativos digitais no meio de 2025.
Separadamente, o investigador de blockchain independente Zachxbt estima que entre 345 e 920 agentes norte -coreanos podem ter permeado seus empregos na indústria de criptografia e receberam mais de US $ 16 milhões em salários desde o seu lançamento em 2025.
