Il gruppo Lazarus, affiliato alla Corea del Nord, è sospettato di aver rubato quasi 240 milioni di dollari in criptovalute da giugno 2023, segnando una significativa escalation nelle sue attività di hacking. Ecco un’analisi dettagliata degli eventi recenti.
Un furto di criptovalute senza precedenti
Secondo diversi rapporti di Certik, Elliptic e ZachXBT, il noto gruppo di hacker è sospettato di essere dietro al furto di 31 milioni di dollari in asset digitali dalla piattaforma CoinEx il 12 settembre 2023. Questo furto si aggiunge a una serie di recenti attacchi che hanno preso di mira Atomic Wallet (100 milioni di dollari), CoinsPaid (37,3 milioni di dollari), Alphapo (60 milioni di dollari) e Stake.com (41 milioni di dollari).
Le mosse del gruppo Lazarus
Elliptic ha rivelato che “alcuni dei fondi rubati da CoinEx sono stati inviati a un indirizzo precedentemente utilizzato dal gruppo Lazarus per riciclare fondi rubati da Stake.com, sebbene su una blockchain diversa. Successivamente, i fondi sono stati trasferiti su Ethereum, utilizzando un bridge precedentemente utilizzato da Lazarus, e poi rinviati a un indirizzo noto per essere controllato dall’hacker di CoinEx”.
Un cambio di focus negli attacchi
L’azienda di analisi della blockchain ha sottolineato che gli ultimi attacchi indicano che il gruppo sta spostando il suo focus dai servizi decentralizzati a quelli centralizzati, che erano i suoi obiettivi principali prima del 2020. Questo cambiamento è probabilmente motivato dai miglioramenti nell’auditing e nello sviluppo di contratti intelligenti nello spazio DeFi e dall’aumentato accesso offerto dagli exchange centralizzati attraverso attacchi di ingegneria sociale.
Il contesto politico
Questi sviluppi arrivano mentre il leader della nazione colpita dalle sanzioni, Kim Jong Un, ha visitato la Russia per quello che si ritiene essere un accordo sulle armi, anche se ha lanciato due missili balistici a corto raggio verso i suoi mari orientali all’inizio della settimana. La Corea del Nord ha utilizzato i furti di criptovalute come mezzo per aggirare le sanzioni e finanziare i suoi programmi di armamenti. Un altro canale di generazione di entrate è l’uso di lavoratori IT freelance all’estero che utilizzano documenti di identificazione falsi che nascondono la loro vera nazionalità.
In conclusione, negli ultimi anni, c’è stato un marcato aumento delle dimensioni e della scala degli attacchi informatici contro le aziende legate alle criptovalute da parte della Corea del Nord. Questo ha coinciso con una apparente accelerazione nei programmi nucleari e balistici del paese.