يستخدم المتسللون الكوريون الشماليون عروض عمل مزيفة لخرق الأنظمة السحابية ، وسرقة المليارات في التشفير

تستخدم مجموعات القرصنة الكورية الشمالية إغراء تكنولوجيا المعلومات المستقلة للوصول إلى الأنظمة السحابية وسرقة العملات المشفرة بقيمة ملايين الدولارات ، وفقًا لبحث منفصل عن شركة Google Cloud و Security Wiz.

جوجل سحابة H2 2025 تقرير آفاق التهديد السحابية يكشف أن مجموعة Google That Intelligence Group “تتبع بنشاط” UNC4899 ، وهي وحدة قرصنة في كوريا الشمالية التي نجحت في اختراق شركتين بعد الاتصال بالموظفين عبر وسائل التواصل الاجتماعي.

في كلتا الحالتين ، أعطى UNC4899 مهام الموظفين التي أدت إلى تشغيل الموظفين برامج ضارة على محطات العمل الخاصة بهم ، مما يتيح لمجموعة القرصنة إنشاء اتصالات بين مراكز القيادة والسيطرة والأنظمة المستندة إلى السحابة للشركات المستهدفة.

ونتيجة لذلك ، تمكنت UNC4899 من استكشاف البيئات السحابية للضحايا ، والحصول على مواد اعتماد وتحديد المضيفين المسؤولين في نهاية المطاف عن معالجة معاملات التشفير.

في حين أن كل حادث منفصل استهدف شركات مختلفة (لم يكشف عن اسمه) والخدمات السحابية المختلفة (Google Cloud و AWS) ، فقد أدى كلاهما إلى سرقة “ملايين الملايين من التشفير”.

وقال جيمي كولير ، مستشار استخبارات التهديدات الرئيسي لأوروبا في مجموعة جوجل للتهديدات المخابرات ، إنه يعكس درجة كبيرة من التطور ، وهو مستشار استخبارات التهديدات الرئيسي في أوروبا في مجموعة Google Threat Intelligence ، إن استخدام السحر الوظيفي من قبل المتسللين الكوريين الشمالي فك تشفير.

وقال “كثيراً ما يطرحون كجامع التوظيف أو الصحفيين أو خبراء الموضوع أو أساتذة الجامعات عند الاتصال بالأهداف” ، مضيفًا أنهم غالبًا ما يتواصلون ذهابًا وإيابًا عدة مرات من أجل بناء علاقة مع أهداف.

سريع في التصرف

يوضح كولير أن ممثلي التهديد في كوريا الشمالية كانوا من بين أول من يتبنون بسرعة تقنيات جديدة مثل الذكاء الاصطناعى ، والتي يستخدمونها لإنتاج “رسائل بريد إلكتروني أكثر إقناعًا ببناء العلاقة” وكتابة البرامج النصية الخبيثة.

كما أن الإبلاغ عن مآثر UNC4899 هي شركة الأمن السحابية Wiz ، والتي تشير إلى أن المجموعة تتم الإشارة إليها أيضًا من خلال أسماء TraderTraitor و Jade Sleet و Slow Pisces.

وقال ويز إن TraderTraitor يمثل نوعًا معينًا من نشاط التهديد بدلاً من مجموعة معينة ، حيث قامت مجموعة لازاروس المدعومة من كوريا الشمالية ، و APT38 ، و Bluenoroff ، و Stardust Chollima خلف مآثر TraderTraitor النموذجية.

في تحليلها من UNC4899/TraderTraitor ، يلاحظ Wiz أن الحملات بدأت مرة أخرى في عام 2020 وأنه منذ البداية ، استخدمت مجموعات القرصنة المسؤولة عن العمل لإقناع الموظفين في تنزيل تطبيقات التشفير الخبيثة التي تم بناؤها على JavaScript و node.js باستخدام إطار الإلكترون.

حملة المجموعة من 2020 إلى 2022 “خرق بنجاح منظمات متعددة” ، وفقًا لـ Wiz ، بما في ذلك Lazarus Group's 620 مليون دولار خرق شبكة Ronin Axie Infinity.

ثم تطور نشاط تهديد TraderTraitor في عام 2023 لدمج استخدام رمز مفتوح المصدر الضار ، بينما في عام 2024 ، تضاعفت على عروض العمل المزيفة ، واستهداف التبادلات في المقام الأول.

والجدير بالذكر أن مجموعات TraderTraitor كانت مسؤولة عن 305 مليون دولار اختراق من بيتكوين DMM في اليابان ، وكذلك اختراق 1.5 مليار دولار في أواخر عام 2024 ، وهو ما تبادل كشفت في فبراير من هذا العام.

استهداف السحابة

كما هو الحال مع المآثر التي أبرزتها Google ، استهدفت هذه الاختراقات الأنظمة السحابية بدرجات متفاوتة ، ووفقًا لـ Wiz ، تمثل هذه الأنظمة ضعفًا كبيرًا في التشفير.

“نعتقد أن TraderTraitor قد ركز على مآثر وتقنيات متعلقة بالسحابة لأن هذا هو المكان الذي تكون فيه البيانات ، وبالتالي المال ،” فك تشفير. “هذا صحيح بشكل خاص بالنسبة لصناعة التشفير ، حيث تكون الشركات أحدث ومن المحتمل أن تكون قد بنيت بنيتها التحتية بطريقة سحابة.”

أوضح قراءة أن استهداف تقنيات السحابة يمكّن مجموعات القرصنة من التأثير على مجموعة واسعة من الأهداف ، مما يزيد من إمكانية كسب المزيد من المال.

وقال إن هذه المجموعات تقوم بأعمال تجارية كبيرة ، مع “تقديرات قدرها 1.6 مليار دولار من العملة المشفرة التي سرقت حتى الآن في عام 2025” ، مضيفًا أن المجموعات المتداولة والمجموعات ذات الصلة لديها قواعد عمل “من المحتمل أن تكون بآلاف الأشخاص” ، الذين يعملون في العديد من المجموعات المتداخلة وأحيانًا متداخلة.

“في حين أن الخروج برقم معين أمر صعب ، فمن الواضح أن النظام الكوري الشمالي يستثمر موارد كبيرة في هذه القدرات.”

في نهاية المطاف ، مكّن هذا الاستثمار كوريا الشمالية من أن تصبح رائدة في القرصنة المشفرة ، مع مختبر TRM في فبراير تقرير خلص إلى أن البلاد تمثل 35 ٪ من جميع الأموال المسروقة العام الماضي.

وقال الخبراء إن جميع العلامات المتاحة تشير إلى أن البلد من المحتمل أن تظل لاعبا اساسيا في القرصنة المتعلقة بالتشفير لبعض الوقت في المستقبل ، لا سيما بالنظر إلى قدرة عملها على تطوير تقنيات جديدة.

وقال كولير من Google: “إن ممثلي التهديد في كوريا الشمالية قوة ديناميكية ورشيقة تتكيف باستمرار لتحقيق الأهداف الاستراتيجية والمالية للنظام”.

أكد كولير أن التكرار على أن المتسللين الكوريين الشماليين يستخدمون منظمة العفو الدولية ، أوضح أن هذا الاستخدام يمكّن “تكاثر القوة” ، مما مكن المتسللين بدوره من زيادة مآثرهم.

وقال “لا نرى أي دليل على تباطؤهم وتوقع الاستمرار في هذا التوسع”.