Secondo quanto riportato da Chainalysis, lo scorso anno il famigerato gruppo hacker nordcoreano Lazarus ha preso di mira svariati exchange di criptovalute.

Uno di questi attacchi ha persino comportato la creazione di un finto sito web per un trading bot, il cui link è stato poi condiviso con i dipendenti dell'exchange DragonEx. Grazie a questo stratagemma, a marzo dello scorso anno gli hacker erano riusciti a rubare dalla piattaforma circa 7 milioni di dollari sotto forma di varie criptovalute.

Per rendere l'attacco più credibile, il gruppo aveva creato un sito web e dei profili sui social network per una finta compagnia chiamata WFC Proof, la quale aveva sviluppato il trading bot offerto ai dipendenti di DragonEx.

Screenshot del finto sito web

Screenshot del finto sito web. Fonte: Chainalysis

Nonostante il software assomigli ad un reale trading bot, in realtà conteneva un malware capace di prendere il controllo del computer infetto. Eventualmente il software è stato installato su una macchina contenente le chiavi private dell'hot wallet di DragonEx, consentendo così agli hacker di rubare i fondi.

Lazarus cambia strategia

In passato Lazarus non spostava i fondi rubati per parecchio tempo, a volte fino a 18 mesi dalla data del furto, aspettando che si calmassero le acque.

Tuttavia nel 2019 la loro strategia è cambiata, e hanno iniziato a spostare il denaro quanto prima possibile. Per fare ciò, il gruppo utilizza wallet che supportano CoinJoin per mescolare le proprie monete e renderle difficilmente rintracciabili.

Ad appena 60 giorni dall'attacco infatti gli hacker avevano già incassato tutti i fondi rubati da DragonEx.