Il Federal Bureau of Investigation (FBI), il Dipartimento della Difesa Cyber Crime Center (DC3) e la National Police Agency giapponese hanno identificato un gruppo apt della Corea del Nord, noto come TraderTraitor, responsabile del furto di 308 milioni di dollari in Bitcoin dalla piattaforma giapponese DMM nel maggio 2024. Questo attacco sottolinea l’uso crescente della criminalità informatica da parte della Corea del Nord per finanziare il proprio regime.
La metodologia dell’attacco
TraderTraitor, noto anche come Jade Sleet, UNC4899 e Slow Pisces, si distingue per l’uso di tecniche avanzate di social engineering. L’attacco è iniziato a marzo 2024, quando un attore nordcoreano, fingendosi un reclutatore su LinkedIn, ha contattato un dipendente di Ginco, una società giapponese specializzata in wallet software per criptovalute.
Il cybercriminale ha inviato al bersaglio un link contenente uno script Python malevolo, mascherato come un test pre-assunzione su GitHub. La vittima ha copiato il codice su un repository personale, compromettendo così il proprio sistema.
A metà maggio 2024, gli attori di TraderTraitor hanno sfruttato i cookie di sessione del dipendente per impersonarlo, ottenendo accesso al sistema di comunicazione non criptato di Ginco. Successivamente, hanno manipolato una legittima richiesta di transazione da parte di un dipendente di DMM, sottraendo 4.502,9 Bitcoin, equivalenti a 308 milioni di dollari al valore dell’epoca. I fondi sono stati poi trasferiti a wallet controllati da TraderTraitor.
L’impatto globale e la risposta delle autorità
Questo attacco è parte di una strategia più ampia da parte della Corea del Nord per generare entrate attraverso attività illecite, tra cui cybercrime e furti di criptovalute. Gli sforzi congiunti tra FBI, DC3 e le autorità giapponesi mirano a contrastare queste operazioni, esponendo le tattiche utilizzate e rafforzando le misure di sicurezza per prevenire ulteriori attacchi.
