В 2025 году северокорейские хакеры похитили криптовалюту на $1,6 млрд.

Хакерские группировки, связанные с КНДР, в 2025 году похитили более $1,6 млрд в криптовалюте, используя социальную инженерию и сложное вредоносное ПО для проникновения в облачные системы. Об этом говорится в отчёте Google Cloud, подготовленном совместно с компанией Wiz.

По данным аналитиков, группа UNC4899 провела успешные атаки на две криптокомпании, представившись рекрутерами в соцсетях. Сотрудникам предлагали выполнить «тестовые задания», которые оказались вредоносными скриптами. Их запуск позволил злоумышленникам получить доступ к облачным средам Google Cloud и AWS, похитить учетные данные и вывести миллионы долларов в криптовалюте.

Джейми Коллиер из Google Threat Intelligence Group отметил: «Они активно строят доверие, общаются несколько раз и используют искусственный интеллект для создания более правдоподобной переписки».

Компания Wiz уточнила, что UNC4899 известна также под названиями TraderTraitor, Jade Sleet и Slow Pisces. Под этим кодовым обозначением объединяют атаки Lazarus Group, APT38, BlueNoroff и Stardust Chollima.

Согласно исследованию Wiz, атаки TraderTraitor эволюционировали:

• 2020–2022 годы — вредоносные криптоприложения на JavaScript (Electron);
• 2023 год — внедрение заражённого открытого кода;
• 2024–2025 годы — массовые кампании с поддельными IT-вакансиями, в первую очередь против криптобирж.

Крупнейшие атаки связаны с кражей $303 млн у японской биржи DMM Bitcoin и рекордным взломом Bybit на $1,5 млрд, произошедшим в феврале 2025 года.

Директор по разведке угроз Wiz Бенджамин Рид подчеркнул: «TraderTraitor фокусируется на облачных атаках, потому что именно там хранятся данные — а значит, и деньги. Это особенно актуально для криптоиндустрии, которая часто строит свою инфраструктуру с подходом cloud-first».

По оценкам экспертов, в кампании TraderTraitor может участвовать до нескольких тысяч хакеров, работающих в координированных группах.

В Google заявили, что активность северокорейских атакующих только нарастает. «Мы не видим никаких признаков замедления их атак и ожидаем дальнейшего масштабирования», — отметил Коллиер.