Una alerta del FBI, el Centro de Delitos Cibernéticos del Departamento de Defensa y la Agencia Nacional de Policía de Japón dijo que el robo de mayo de 2024 a la empresa de criptomonedas DMM con sede en Japón fue llevado a cabo por un grupo de amenazas norcoreano rastreado como TraderTraitor, también conocido como Jade Sleet, UNC4899 y Slow Pisces.
Las agencias revelaron que TraderTraitor llevó a cabo un ataque de ingeniería social dirigido para acceder y robar los fondos criptográficos. Esta campaña comenzó a fines de marzo de 2024, cuando el actor de amenazas, haciéndose pasar por un reclutador en LinkedIn, se comunicó con un empleado de Ginco, una empresa de software de billetera de criptomonedas empresarial con sede en Japón.
El empleado fue atacado porque mantenía acceso al sistema de gestión de billeteras de Ginco.
TraderTraitor le envió al empleado una URL vinculada a un script malicioso de Python bajo la apariencia de una prueba previa al empleo ubicada en una página de GitHub. La víctima copió el código de Python a su página personal de GitHub y, posteriormente, se vio comprometida.
Después de mediados de mayo de 2024, los piratas informáticos explotaron la información de las cookies de sesión para hacerse pasar por el empleado comprometido y obtuvieron acceso con éxito al sistema de comunicaciones no encriptado de Ginco.
A fines de mayo de 2024, los actores probablemente usaron este acceso para manipular una solicitud de transacción legítima de un empleado de DMM, lo que resultó en la pérdida de 4502,9 bitcoins, con un valor de $308 millones en el momento del ataque.
Los fondos robados se transfirieron posteriormente a billeteras controladas por TraderTraitor.
Un informe de la firma de análisis de cadenas de bloques Chainalysis, publicado el 19 de diciembre, descubrió que los piratas informáticos afiliados a Corea del Norte robaron criptomonedas por valor de 1.340 millones de dólares en 47 incidentes durante 2024.
Esto representa el 61% de la cantidad total de criptomonedas robadas durante el año.
Los grupos norcoreanos han llevado a cabo un gran volumen de robos de criptomonedas en los últimos años, y las ganancias han generado ingresos para el régimen de Pyongyang.
La nueva alerta decía que el FBI, la Agencia Nacional de Policía de Japón y otros socios del gobierno de Estados Unidos e internacionales seguirán exponiendo y combatiendo el uso de actividades ilícitas por parte de Corea del Norte, incluido el cibercrimen.