جاسوسان سایبری کره شمالی دیگر فقط تهدیدات از راه دور نیستند

سوء استفاده 285 میلیون دلاری این ماه از Drift، یک صرافی غیر متمرکز، بزرگترین هک کریپتو در بیش از یک سال بود، زمانی که صرافی Bybit 1.4 میلیارد دلار از دست داد. هکرهای حمایت شده توسط دولت کره شمالی به عنوان مظنونان اصلی در هر دو حمله معرفی شدند.

Drift در یک پست روز یکشنبه در X گفت که پاییز گذشته، مهاجمان خود را به عنوان یک شرکت معاملاتی کمی معرفی کردند و در یک کنفرانس بزرگ کریپتو به صورت حضوری با تیم پروتکل Drift تماس گرفتند.

این صرافی غیر متمرکز گفت: "اکنون مشخص شده است که این به نظر می‌رسد یک رویکرد هدفمند باشد، جایی که افراد این گروه به طور عمدی به دنبال یافتن و درگیر کردن مشارکت‌کنندگان خاص Drift، به صورت حضوری، در چندین کنفرانس بزرگ صنعت در کشورهای مختلف در طول شش ماه بعدی ادامه دادند."

تا کنون، جاسوسان سایبری کره شمالی شرکت‌های کریپتو را به صورت آنلاین، از طریق تماس‌های مجازی و کار از راه دور هدف قرار داده‌اند. رویکرد حضوری در یک کنفرانس معمولاً شک و تردید ایجاد نمی‌کند، اما سوء استفاده از Drift باید برای شرکت‌کنندگان کافی باشد تا ارتباطات برقرار شده در رویدادهای اخیر را بررسی کنند.

هک TVL Drift را در حدود 12 دقیقه بیش از نصف کاهش داد. منبع: DefiLlama

کره شمالی کتاب بازی کریپتو را فراتر از هک گسترش می‌دهد

شرکت پزشکی قانونی بلاک چین TRM Labs این حادثه را بزرگترین هک DeFi در سال 2026 (تا کنون) و دومین سوء استفاده بزرگ در تاریخ Solana، درست پشت هک پل Wormhole به ارزش 326 میلیون دلار در سال 2022 توصیف کرد.

به گفته TRM، تماس اولیه به حدود شش ماه پیش برمی‌گردد، اما خود سوء استفاده به اواسط مارس مربوط می‌شود. مهاجم با انتقال وجوه از Tornado Cash و استقرار CarbonVote Token (CVT) شروع کرد، در حالی که از مهندسی اجتماعی برای ترغیب امضاکنندگان چندامضایی برای تأیید تراکنش‌هایی استفاده کرد که مجوزهای بالاتری اعطا می‌کردند.

سپس آنها با ضرب عرضه بزرگ و افزایش فعالیت معاملاتی برای شبیه‌سازی تقاضای واقعی، اعتبار CVT را ساختند. اوراکل‌های Drift سیگنال را دریافت کردند و توکن را به عنوان یک دارایی قانونی در نظر گرفتند.

زمانی که تراکنش‌های از پیش تأیید شده در 1 آوریل اجرا شدند، CVT به عنوان وثیقه پذیرفته شد، محدودیت‌های برداشت افزایش یافت و وجوه در دارایی‌های واقعی، از جمله USDC، برداشت شدند.

TRM انتقال وجوه از Tornado Cash در مارس را که برای آماده‌سازی سوء استفاده از Drift استفاده شد، شرح می‌دهد. منبع: TRM Labs

مرتبط: جاسوس کره شمالی لغزش می‌کند، روابط را در مصاحبه شغلی جعلی فاش می‌کند

به گفته TRM، سرعت و تهاجمی بودن پولشویی بعدی از آنچه در هک Bybit دیده شد، فراتر رفت.

به طور گسترده اعتقاد بر این است که کره شمالی از سرقت‌های کریپتو در مقیاس بزرگ مانند حملات Drift و Bybit در کنار تاکتیک‌های بلندمدت‌تر، از جمله قرار دادن عوامل در نقش‌های از راه دور در شرکت‌های فناوری و کریپتو برای تولید درآمد ثابت استفاده می‌کند. شورای امنیت سازمان ملل متحد گفته است که چنین وجوهی برای حمایت از برنامه تسلیحاتی کشور استفاده می‌شود.

محقق امنیتی Taylor Monahan گفت که نفوذ در پروتکل‌های DeFi به "تابستان DeFi" برمی‌گردد و افزود که حدود 40 پروتکل با عوامل مشکوک DPRK تماس داشته‌اند.

رسانه‌های دولتی کره شمالی پنجشنبه گزارش دادند که این کشور یک سلاح الکترومغناطیسی و یک موشک بالستیک کوتاه‌برد به نام Hwasong-11 را که با کلاهک‌های مهمات خوشه‌ای مجهز شده بود، آزمایش کرد.

ابعاد تخمینی برای KN-23، که به عنوان Hwasong-11A نیز شناخته می‌شود. منبع: Christian Maire، FRS

شبکه نفوذ درآمد ثابت کریپتو را تأمین می‌کند

یک تحقیق جداگانه نشان داد که چگونه یک شبکه از کارگران IT مرتبط با کره شمالی میلیون‌ها دلار از طریق نفوذ طولانی‌مدت تولید کردند.

داده‌های به دست آمده از یک منبع ناشناس که توسط ZachXBT به اشتراک گذاشته شد، نشان داد که شبکه خود را به عنوان توسعه‌دهندگان معرفی می‌کند و خود را در شرکت‌های کریپتو و فناوری جاسازی می‌کند و تقریباً 1 میلیون دلار در ماه و بیش از 3.5 میلیون دلار از نوامبر تولید می‌کند.

این گروه با استفاده از هویت‌های جعلی مشاغل را تأمین کرد، پرداخت‌ها را از طریق یک سیستم مشترک هدایت کرد، سپس وجوه را به فیات تبدیل کرد و از طریق پلتفرم‌هایی مانند Payoneer به حساب‌های بانکی چینی ارسال کرد.

کارآگاه بلاک چین گفت که ردیابی کیف پول بخشی از جریان را به آدرس‌های مرتبط با فعالیت شناخته شده DPRK مرتبط کرد. منبع: ZachXBT

مرتبط: آیا شما یک فریلنسر هستید؟ جاسوسان کره شمالی ممکن است از شما استفاده کنند

این عملیات به زیرساخت‌های اساسی، از جمله یک وب‌سایت مشترک با رمز عبور مشترک و تابلوهای امتیازی داخلی که درآمد را ردیابی می‌کردند، متکی بود.

عوامل با استفاده از VPN و اسناد جعلی در معرض دید برای نقش‌ها درخواست دادند، که به یک استراتژی بلندمدت‌تر برای جاسازی عوامل برای استخراج درآمد ثابت اشاره دارد.

دفاع‌ها با گسترش تاکتیک‌های نفوذ تکامل می‌یابند

Cointelegraph در یک تحقیق در سال 2025 که توسط Heiner García رهبری شد، با یک طرح مشابه مواجه شد، که ماه‌ها در تماس با یک عامل مشکوک بود.

Cointelegraph بعداً در مصاحبه ساختگی García با یک مظنون که خود را "Motoki" می‌نامید شرکت کرد، که ادعا می‌کرد ژاپنی است. مظنون پس از ناتوانی در معرفی خود به گویش بومی فرضی خود، با خشم تماس را ترک کرد.

تحقیقات نشان داد که عوامل با استفاده از دسترسی از راه دور به دستگاه‌هایی که به صورت فیزیکی در کشورهایی مانند ایالات متحده قرار داشتند، محدودیت‌های جغرافیایی را دور زدند. به جای VPN، آنها آن دستگاه‌ها را مستقیماً اداره کردند و فعالیت خود را محلی نشان دادند.

اکنون، شکارچیان سر فناوری متوجه شده‌اند که فرد در انتهای دیگر یک مصاحبه شغلی مجازی ممکن است در واقع یک جاسوس سایبری کره شمالی باشد. یک استراتژی دفاعی ویروسی این است که از مظنونان بخواهید به Kim Jong Un توهین کنند. تا کنون، این تاکتیک مؤثر بوده است.

یک کارمند IT مشکوک کره شمالی زمانی که از او خواسته می‌شود Kim Jong Un را "خوک چاق و زشت" بنامد، منجمد می‌شود. منبع: Tanuki42

با این حال، همانطور که Drift به صورت حضوری مورد رویکرد قرار گرفت و یافته‌های García نشان داد که عوامل روش‌های خلاقانه‌ای برای دور زدن محدودیت‌های جغرافیایی پیدا کردند، بازیگران کره شمالی به تطبیق با پویایی گربه و موش ادامه داده‌اند.

درخواست از مصاحبه‌شوندگان برای نامیدن رهبر عالی کره شمالی "خوک چاق" یک استراتژی مؤثر در حال حاضر است، اما محققان امنیتی هشدار می‌دهند که این برای همیشه کار نخواهد کرد.

مجله: چک‌های شبح Bitcoin، چین مالیات را بر روی بلاک چین ردیابی می‌کند: اکسپرس آسیا