O operador norte-coreano de crimes cibernéticos, APT43, está usando computação em nuvem para lavar criptomoedas, descobriu um relatório do serviço de segurança cibernética, Mandiant. De acordo com os pesquisadores, o grupo norte-coreano usa criptomoedas roubadas para minerar criptomoedas limpas.
A Mandiant, uma subsidiária do Google, rastreia o grupo norte-coreano Advanced Persistent Threat (APT) desde 2018, mas só agora graduou o grupo para uma identidade independente. Mandiant caracterizou o grupo como um jogador importante que frequentemente cooperava com outros grupos.
Embora sua principal atividade fosse espionar a Coreia do Sul, a Mandiant descobriu que o APT43 provavelmente estava envolvido na arrecadação de fundos para o regime norte-coreano e no autofinanciamento por meio de suas operações ilícitas. Aparentemente, o grupo teve sucesso nessas atividades:
“O APT43 rouba e lava criptomoedas suficientes para comprar infraestrutura operacional de maneira alinhada com a ideologia de autossuficiência do estado juche da Coreia do Norte, reduzindo assim a pressão fiscal sobre o governo central.”
Os pesquisadores detectaram o provável uso do grupo norte-coreano de aluguel de hash e serviços de mineração em nuvem para lavar criptomoedas roubadas em criptomoedas limpas.
@Mandiant has graduated a new prolific group #APT43 which generally aligns to #kimsuky. Read more in the blog/report/webinar:https://t.co/GY2sx2wlSehttps://t.co/VZbvGUYqKHhttps://t.co/5Mvk740woW
— Dan Perez (@MrDanPerez) March 28, 2023
O aluguel de hash e a mineração em nuvem são práticas semelhantes que envolvem o aluguel da capacidade de mineração de criptomoedas. De acordo com a Mandiant, eles possibilitam minerar criptomoedas para uma carteira selecionada pelo comprador sem qualquer associação baseada em blockchain aos pagamentos originais do comprador.
A Mandiant identificou métodos de pagamento e endereços usados para compras pelo grupo. PayPal, cartões American Express e Bitcoin provavelmente derivado de operações anteriores foram os métodos de pagamento utilizados pelo grupo.
Além disso, o APT43 foi implicado no uso de malware Android para coletar credenciais de pessoas na China em busca de empréstimos em criptomoedas. O grupo também opera vários sites falsos para a coleta de credenciais direcionadas.
A Coreia do Norte foi implicada em vários roubos de criptomoedas, incluindo a recente exploração de Euler de mais de US$195 milhões. De acordo com as Nações Unidas, os hackers norte-coreanos tiveram uma arrecadação recorde entre US$630 milhões e mais de US$1 bilhão em 2022. A Chainalysis estimou esse valor em um mínimo de US$1,7 bilhão.
