Um dispositivo comprometido de um trabalhador norte -coreano de TI expôs o funcionamento interno da equipe por trás do hack de US $ 680.000 FAVRR e o uso das ferramentas do Google para direcionar projetos de criptografia.
Resumo
- Um dispositivo comprometido pertencente a um trabalhador de TI norte -coreano expôs o funcionamento interno de atores de ameaças.
- As evidências mostram que os agentes usaram ferramentas alimentadas pelo Google, Anydesk e VPNs para se infiltrar em empresas de criptografia.
De acordo com o Sleuth Zachxbt na cadeia, a trilha começou com uma fonte não identificada que obteve acesso a um dos computadores dos trabalhadores, descobrindo capturas de tela, o Google Drive Exports e Chrome Perfis que recuperaram a cortina sobre como os agentes planejaram e realizaram seus esquemas.
Com base na atividade da carteira e com as impressões digitais digitais correspondentes, o Zachxbt verificou o material de origem e amarrou as negociações de criptomoeda do grupo com a exploração de junho de 2025 do FAVRR do mercado de fãs. Um endereço de carteira, “0x78E1a”, mostrou links diretos a fundos roubados do incidente.
Dentro da operação
O dispositivo comprometido mostrou que a pequena equipe – seis membros no total – compartilhava pelo menos 31 identidades falsas. Para os empregos de desenvolvimento de blockchain de terras, eles acumularam IDs e números de telefone emitidos pelo governo, até comprando contas do LinkedIn e Upwork para concluir sua cobertura.
Um script de entrevista encontrado no dispositivo mostrou que eles se vangloriavam em empresas de blockchain conhecidas, incluindo Polygon Labs, OpenSea e ChainLink.
As ferramentas do Google eram centrais para o seu fluxo de trabalho organizado. Os atores de ameaças foram encontrados usando planilhas de acionamento para rastrear orçamentos e horários, enquanto o Google Translate preencheu a lacuna de idiomas entre coreano e inglês.
Entre as informações retiradas do dispositivo estava uma planilha que mostrou que os trabalhadores estavam alugando computadores e pagando pelo acesso da VPN para comprar contas novas para suas operações.
A equipe também se baseou em ferramentas de acesso remoto, como o Anydesk, permitindo que eles controlem os sistemas clientes sem revelar seus verdadeiros locais. Os registros da VPN amarraram sua atividade a várias regiões, mascarando os endereços IP norte -coreanos.
As descobertas adicionais revelaram que o grupo procurou maneiras de implantar tokens em diferentes blockchains, explorar empresas de IA na Europa e mapear novos alvos no espaço criptográfico.
Os atores de ameaças norte -coreanos usam empregos remotos
Zachxbt descobriu que o mesmo padrão sinalizou em vários relatórios de segurança cibernética – trabalhadores norte -coreanos que desembarcam empregos remotos legítimos para entrar no setor de criptografia. Ao posar como desenvolvedores freelancers, eles obtêm acesso a repositórios de código, sistemas de back -end e infraestrutura de carteira.
Um documento descoberto no dispositivo foram as notas de entrevista e os materiais de preparação provavelmente devem ser mantidos na tela ou nas proximidades durante as ligações com potenciais empregadores.
Fontecrypto.news
