Северокорейская группа Lazarus украла 5,2 миллиона долларов у криптотрейдера через сложную кибератаку с использованием вредоносного ПО

Группа Lazarus из Северной Кореи связана с кибератакой, в результате которой 24 мая был украден более 5,2 миллиона долларов у криптотрейдера, сообщает блокчейн-аналитик ZackXBT. Кража произошла через сложную атаку с использованием вредоносного ПО, с помощью которого средства были выведены из нескольких типов кошельков, включая мультиподписные, внешние аккаунты и кошельки бирж.

Инцидент, о котором стало известно через канал ZackXBT в Telegram во вторник, наводит на мысль, что группа может менять свое внимание с высокобюджетных индивидуумов и компаний на индивидуальных трейдеров с внутридневной торговлей.

После кражи около 1000 ETH было перенаправлено в Tornado Cash, крипто-миксер, который обычно используется для сокрытия источника украденных цифровых активов. Украденные активы были затем быстро ликвидированы на открытом рынке.

Канал ZachXBT перечислил три адреса Ethereum, связанные с кражей. Кроме небольших токенов QBX, Blocklords, Astra Protocol и DAI, которые в сумме составили около 1340 долларов, основной адрес имел более 40 ETH, что составляет около 107 тысяч долларов по текущим рыночным ценам. Считается, что эти средства были частью прибыли от атаки вредоносного ПО.

На прошлых выходных через второй адрес было обработано всего девять транзакций, который, похоже, был новым. Он отправил более 200 ETH на основной адрес. Наконец, на данный момент другой криптоадрес держал около 2,7 миллиона DAI, что составляло основную часть украденных средств.

Такое поведение соответствует тому, что было обнаружено в недавнем исследовании TRM Labs, которое описывает глобальную сеть российских преступных организаций и китайских брокеров, работающих вне рынка, которые Северная Корея использует для отмывания своих нелегальных доходов.

В отчете утверждается, что Lazarus предоставляет техническую экспертизу, но их партнеры создают каналы для интеграции украденных средств на легитимные рынки. Отмывание денег продолжается во втором квартале 2025 года.

В апреле блокчейн-аналитическая компания SpotOnChain сообщила, что кошелек, предположительно связанный с Lazarus, сбросил 40,78 Wrapped Bitcoin (WBTC) за 3,51 миллиона долларов. Биткойн, первоначально купленный в феврале 2023 года примерно за 999 900 долларов, когда WBTC торговался по 24 521 доллару, был продан за 83 459 долларов за монету с прибылью в 251% за два года.

Прибыли были преобразованы в 1847 ETH и позже распределены между тремя кошельками. Наибольшая доля в 1865 ETH была отслежена до другого кошелька, который, как сообщается, управляется группой. Вместо того чтобы держать преобразованный ETH, Lazarus распределил 2507 ETH по нескольким адресам.

Хакеры, связанные с КНДР, также были связаны с известным взломом криптобиржи Bybit на сумму 1,5 миллиарда долларов. В результате утечки группа предположительно отмыла почти 500 000 ETH, эквивалентные примерно 1,39 миллиарда долларов, за всего лишь десять дней.

По оценкам платформы блокчейн-аналитики Arkham Intelligence, связанные с Lazarus кошельки все еще держат около 1,1 миллиарда долларов в криптоактивах, включая значительные запасы биткойнов, эфира и Tether.

Расследователи ООН, контролирующие соблюдение санкций, считают, что доходы от этих кибератак идут на программы разработки оружия Северной Кореи. С 2017 по 2023 год страна, как сообщается, использовала крипто-доходы для улучшения своей ракетной технологии, увеличивая свои возможности по поражению целей далеко за пределами Корейского полуострова.

В отчете, опубликованном в декабре прошлого года, Chainalysis подтвердил, что хакеры, связанные с режимом, украли более 1,3 миллиарда долларов в криптовалюте в 2024 году в 47 инцидентах.

«Хакеры, связанные с Северной Кореей, стали известны своими сложными и безжалостными методами работы», - говорится в анализе Chainalysis, отмечая, что эти усилия используются для обхода международных санкций и финансирования незаконной деятельности государства.