Il mondo delle criptovalute è stato recentemente scosso da un furto di proporzioni enormi. Le autorità giapponesi e statunitensi hanno identificato attori cybercriminali nordcoreani come responsabili del furto di criptovalute per un valore di 308 milioni di dollari, avvenuto a maggio 2024 ai danni della società DMM Bitcoin. Questo attacco è stato collegato all'attività minacciosa conosciuta come TraderTraitor, notorio per il suo uso di tecniche di ingegneria sociale mirate a più dipendenti di una stessa azienda, simultaneamente. L'allerta è stata emessa dal Federal Bureau of Investigation degli Stati Uniti, dal Department of Defense Cyber Crime Center e dalla National Police Agency del Giappone.

DMM Bitcoin ha interrotto le sue operazioni a seguito dell'attacco. TraderTraitor è un cluster di minacce persistenti legato alla Corea del Nord, noto per attaccare aziende nel settore Web3, inducendo le vittime a scaricare applicazioni criptovalutarie infette da malware. Questo gruppo è attivo almeno dal 2020 e ha orchestrato una serie di attacchi sfruttando campagne ingannevoli a tema lavorativo o contattando obiettivi potenziali con il pretesto di collaborare a un progetto GitHub, portando successivamente al rilascio di pacchetti npm malevoli.

Il gruppo è noto per aver compromesso i sistemi di JumpCloud per attaccare un piccolo set di clienti a valle. La catena d'attacco documentata dall'FBI ha visto gli attori minacciosi contattare un dipendente di un'azienda giapponese di software per portafogli di criptovalute, Ginco, fingendosi reclutatori e inviando un URL a uno script Python malevolo su GitHub come parte di un presunto test pre-assunzione.

Il dipendente, che aveva accesso al sistema di gestione dei portafogli di Ginco, è stato compromesso dopo aver copiato il codice Python sulla sua pagina personale di GitHub. Gli aggressori hanno poi utilizzato le informazioni sui cookie di sessione per impersonare il dipendente compromesso, ottenendo con successo l'accesso al sistema di comunicazione non criptato di Ginco.

Nel maggio 2024, gli attori hanno manipolato una legittima richiesta di transazione da parte di un dipendente di DMM, portando alla perdita di 4.502,9 BTC, pari a 308 milioni di dollari al momento dell'attacco. I fondi rubati sono stati trasferiti a portafogli controllati da TraderTraitor. Questo attacco è stato attribuito anche da Chainalysis, che ha sottolineato come gli attaccanti abbiano sfruttato vulnerabilità infrastrutturali per effettuare prelievi non autorizzati e abbiano utilizzato servizi di miscelazione di Bitcoin per nascondere le tracce dei fondi rubati.

La rivelazione arriva mentre il centro di intelligence sulla sicurezza AhnLab ha scoperto che il gruppo di minacce nordcoreano Andariel, una sottoclasse del gruppo Lazarus, sta distribuendo il backdoor SmallTiger come parte di attacchi contro soluzioni di gestione e centralizzazione documentale delle risorse in Corea del Sud.