У 2025 році північнокорейські хакери викрали криптовалюту на $1,6 млрд.

Хакерські угруповання, пов’язані з КНДР, у 2025 році викрали понад $1,6 млрд у криптовалюті, використовуючи соціальну інженерію і складне шкідливе ПЗ для проникнення в хмарні системи. Про це йдеться у звіті Google Cloud, підготовленому спільно з компанією Wiz.

За даними аналітиків, група UNC4899 провела успішні атаки на дві криптокомпанії, представившись рекрутерами в соцмережах. Співробітникам пропонували виконати “тестові завдання”, які виявилися шкідливими скриптами. Їхній запуск дав змогу зловмисникам отримати доступ до хмарних середовищ Google Cloud і AWS, викрасти облікові дані та вивести мільйони доларів у криптовалюті.

Джеймі Коллієр з Google Threat Intelligence Group зазначив: “Вони активно будують довіру, спілкуються кілька разів і використовують штучний інтелект для створення правдоподібнішого листування”.

Компанія Wiz уточнила, що UNC4899 відома також під назвами TraderTraitor, Jade Sleet і Slow Pisces. Під цим кодовим позначенням об’єднують атаки Lazarus Group, APT38, BlueNoroff і Stardust Chollima.

Згідно з дослідженням Wiz, атаки TraderTraitor еволюціонували:

• 2020-2022 роки – шкідливі криптододатки на JavaScript (Electron);
• 2023 рік – впровадження зараженого відкритого коду;
• 2024-2025 роки – масові кампанії з підробленими IT-вакансіями, насамперед проти криптобірж.

Найбільші атаки пов’язані з крадіжкою $303 млн у японської біржі DMM Bitcoin і рекордним зламом Bybit на $1,5 млрд, що стався в лютому 2025 року.

Директор із розвідки загроз Wiz Бенджамін Рід підкреслив: “TraderTraitor фокусується на хмарних атаках, тому що саме там зберігаються дані – а отже, і гроші. Це особливо актуально для криптоіндустрії, яка часто будує свою інфраструктуру з підходом cloud-first”.

За оцінками експертів, у кампанії TraderTraitor може брати участь до кількох тисяч хакерів, які працюють у координованих групах.

У Google заявили, що активність північнокорейських атакувальників тільки наростає. “Ми не бачимо жодних ознак уповільнення їхніх атак і очікуємо подальшого масштабування”, – зазначив Коллієр.