Згідно зі звітом Google Cloud, північнокорейські зловмисники здійснили атаки на криптовалютні компанії, викравши понад $1,6 млрд у 2025 році. Хакери використовували фальшиві вакансії для зломів криптобірж та штучний інтелект для спілкування з потенційними жертвами.
Про це розповідає UBB
Група хакерів, відома під різними назвами, такими як UNC4899, TraderTraitor, Jade Sleet та Slow Pisces, активно провадить атаки на криптокомпанії. Вони маскуються під рекрутерів або експертів у різних сферах, щоб втертися в довіру до працівників компаній. В результаті таких дій зловмисники отримують доступ до хмарних систем, викрадаючи облікові дані та інформацію, що стосується криптотранзакцій.
Згідно з інформацією Google Cloud, UNC4899 успішно здійснила атаки на дві компанії, використовуючи шкідливі скрипти, які видавалися за «тестові завдання». Після виконання цих завдань хакери отримували віддалений доступ до систем, викрадаючи мільйони доларів у криптовалютах.
Атаки відбулися на різні хмарні сервіси, включаючи Google Cloud та AWS, з однаковим результатом — викрадення значних сум грошей. Як зазначає Джеймі Коллієр, головний радник з розвідки загроз у Google Threat Intelligence Group, північнокорейські хакери активно використовують штучний інтелект для створення правдоподібного листування з жертвами.
«Вони активно будують довіру, спілкуються кілька разів і використовують штучний інтелект для створення більш правдоподібного листування».
Компанія Wiz, що досліджує діяльність UNC4899, зазначає, що група також відома як TraderTraitor, що об’єднує кілька атакуючих угруповань. Атаки TraderTraitor розпочалися ще у 2020 році і відзначаються еволюцією методів: від шкідливих криптозастосунків на JavaScript до масованих атак через фальшиві IT-вакансії.
- 2020-2022 роки: атаки через шкідливі криптозастосунки на JavaScript (Electron);
- 2023 рік: впровадження шкідливого відкритого коду;
- 2024-2025 роки: масовані атаки через фейкові IT-вакансії, особливо на криптобіржі.
Серед найбільших атак, здійснених цією групою, варто виділити злом японської біржі DMM Bitcoin на суму $303 млн та злом біржі Bybit, про який стало відомо в лютому 2025 року, з втратами у $1,5 млрд.
За словами Бенджаміна Ріда, директора з розвідки загроз у Wiz:
«TraderTraitor фокусується на хмарних атаках, бо саме там зберігаються дані — а отже, і гроші. Це особливо актуально для криптоіндустрії, яка часто будує свою інфраструктуру з підходом “cloud-first”».
Кількість хакерів, пов’язаних із TraderTraitor, може сягати тисяч осіб, які працюють у паралельних або взаємопов’язаних групах. У TRM Labs раніше повідомляли, що у першій половині 2025 року криптогалузь зазнала збитків у понад $2,1 млрд.
Google попереджає, що діяльність північнокорейських хакерів продовжує розширюватися, і не прогнозує зменшення їхніх атак.
«Ми не бачимо жодних ознак уповільнення їхніх атак і очікуємо подальшого масштабування», — зазначив Коллієр.
Нагадаємо, що ще у квітні цього року експерти Google Threat Intelligence Group виявили, як працюють хакери з КНДР. Нещодавно американка отримала 8,5 років тюремного строку за допомогу північнокорейським хакерам у працевлаштуванні в компаніях США.