'Noord-Korea verantwoordelijk voor diefstal 308 miljoen dollar bij cryptobedrijf DMM'

De aanval vond in mei 2024 plaats en wordt toegeschreven aan de TraderTraitor-groep, ook bekend als Jade Sleet, UNC4899 en Slow Pisces. Deze groep staat bekend om gerichte social engineering, waarbij meerdere medewerkers van hetzelfde bedrijf tegelijkertijd worden benaderd. In maart 2024 benaderde een Noord-Koreaanse cybercrimineel vermomd als recruiter op LinkedIn een medewerker van Ginco, een Japans bedrijf dat software voor cryptocurrency-wallets ontwikkelt. De aanvaller stuurde een URL naar een kwaadaardig Python-script vermomd als een testopdracht, die op een GitHub-pagina stond. De medewerker kopieerde de code naar zijn persoonlijke GitHub-pagina en werd daardoor gecompromitteerd.

Sessiecookies misbruikt

Halverwege mei 2024 wisten de TraderTraitor-actoren sessiecookies te misbruiken om zich voor te doen als de gecompromitteerde medewerker en toegang te krijgen tot het niet-versleutelde communicatiesysteem van Ginco. Eind mei 2024 gebruikten de aanvallers deze toegang waarschijnlijk om een legitiem transactieverzoek van een DMM-medewerker te manipuleren, wat resulteerde in het verlies van 4.502,9 BTC, destijds ter waarde van $308 miljoen. De gestolen fondsen werden uiteindelijk overgeboekt naar wallets die onder controle stonden van TraderTraitor.

De FBI, de Japanse Nationale Politie en andere internationale partners blijven samenwerken om Noord-Korea’s illegale activiteiten, waaronder cybercriminaliteit en cryptocurrency-diefstal, bloot te leggen en te bestrijden. Deze activiteiten worden door het regime gebruikt om inkomsten te genereren.