Noord-Koreaanse IT-medewerkers gebruikten meer dan 30 valse ID's om cryptobedrijven te targeten: rapport
Een gecompromitteerd apparaat van een Noord-Koreaanse IT-medewerker heeft de interne werking blootgelegd van het team achter de Favrr-hack van $680.000 en hun gebruik van Google-tools om cryptoprojecten te targeten.
- Een gecompromitteerd apparaat van een Noord-Koreaanse IT-medewerker legde de interne werking van dreigingsactoren bloot.
- Bewijs toont aan dat operatives Google-tools, AnyDesk en VPN's gebruikten om cryptobedrijven te infiltreren.
Volgens on-chain speurder ZachXBT begon het spoor met een niet-genoemde bron die toegang kreeg tot een van de computers van de medewerkers, waarbij screenshots, Google Drive-exports en Chrome-profielen werden ontdekt die een kijkje gaven in hoe de operatives hun plannen maakten en uitvoerden.
Op basis van walletactiviteit en overeenkomende digitale vingerafdrukken verifieerde ZachXBT het bronmateriaal en koppelde de cryptovaluta-activiteiten van de groep aan de exploit van juni 2025 van de fan-token marktplaats Favrr. Eén walletadres, "0x78e1a", toonde directe links naar gestolen fondsen van het incident.
Binnen de operatie
Het gecompromitteerde apparaat toonde aan dat het kleine team — in totaal zes leden — minstens 31 valse identiteiten deelde. Om blockchain-ontwikkelingsbanen te bemachtigen, verzamelden ze door de overheid uitgegeven ID's en telefoonnummers, en kochten ze zelfs LinkedIn- en Upwork-accounts om hun dekmantel compleet te maken.
Een interviewscript dat op het apparaat werd gevonden, toonde aan dat ze opschepten over ervaring bij bekende blockchainbedrijven, waaronder Polygon Labs, OpenSea en Chainlink.
Google-tools waren centraal in hun georganiseerde workflow. De dreigingsactoren bleken spreadsheets te gebruiken om budgetten en schema's bij te houden, terwijl Google Translate de taalkloof tussen Koreaans en Engels overbrugde.
Onder de informatie die van het apparaat werd gehaald, was een spreadsheet die aantoonde dat IT-medewerkers computers huurden en betaalden voor VPN-toegang om nieuwe accounts voor hun operaties te kopen.
Het team vertrouwde ook op tools voor externe toegang zoals AnyDesk, waarmee ze clientsystemen konden beheren zonder hun werkelijke locaties te onthullen. VPN-logs koppelden hun activiteit aan meerdere regio's, waardoor Noord-Koreaanse IP-adressen werden gemaskeerd.
Aanvullende bevindingen onthulden dat de groep manieren opzocht om tokens op verschillende blockchains te implementeren, AI-bedrijven in Europa verkende en nieuwe doelen in de cryptoruimte in kaart bracht.
Noord-Koreaanse dreigingsactoren gebruiken externe banen
ZachXBT ontdekte hetzelfde patroon dat in meerdere cyberbeveiligingsrapporten werd gesignaleerd — Noord-Koreaanse IT-medewerkers die legitieme externe banen bemachtigen om in de cryptosector te infiltreren. Door zich voor te doen als freelance ontwikkelaars krijgen ze toegang tot coderepositorys, backendsystemen en walletinfrastructuur.
Een document dat op het apparaat werd ontdekt, bevatte interviewnotities en voorbereidingsmaterialen die waarschijnlijk bedoeld waren om op het scherm of in de buurt te houden tijdens gesprekken met potentiële werkgevers.
Misschien vind je dit ook leuk
Bitrue lanceert TradFi Futures om Crypto en Traditionele Markten te Verbinden
Is het wachten voorbij voor DOT en SHIB?
