Secondo un report del servizio di cybersicurezza Mandiant, l'operatore di cybercriminalità nordcoreano APT43 sta utilizzando il cloud computing per riciclare criptovalute. Secondo i ricercatori, il gruppo nordcoreano utilizza "criptovalute rubate per minare criptovalute pulite".

Mandiant, una sussidiaria di Google, segue il gruppo Advanced Persistent Threat (APT) dal 2018, ma solo ora lo ha "classificato" come identità indipendente. Mandiant ha definito il gruppo come un "attore importante" che spesso collabora con altri gruppi.

Sebbene l'attività principale fosse lo spionaggio della Corea del Sud, Mandiant ha scoperto che APT43 era probabilmente impegnato nella raccolta di fondi per il regime nordcoreano e nell'auto-finanziamento attraverso operazioni illecite. A quanto pare il gruppo ha avuto successo in queste operazioni:

"L'APT43 ruba e ricicla una quantità di criptovaluta sufficiente ad acquistare infrastrutture operative in linea con l'ideologia di autosufficienza dello Stato della Corea del Nord, riducendo così la pressione fiscale sul governo centrale".

I ricercatori hanno rilevato il "probabile utilizzo da parte del gruppo nordcoreano di servizi di hash rental e cloud mining per riciclare criptovalute rubate in cripto pulite".

@Mandiant ha classificato un nuovo gruppo #APT43 che generalmente si allinea con #kimsuky. Per saperne di più, leggete il blog/relazione/webinar:https://t.co/GY2sx2wlSe https://t.co/VZbvGUYqKH https://t.co/5Mvk740woW

— Dan Perez (@MrDanPerez) March 28, 2023

Hash rental e cloud mining sono pratiche simili che prevedono l'affitto di risorse per il mining di criptovalute. Secondo Mandiant, consentono di minare criptovalute "in un wallet selezionato dall'acquirente senza alcuna associazione basata su blockchain con i pagamenti originali dell'acquirente".

Mandiant ha identificato i metodi di pagamento, gli alias e gli indirizzi utilizzati per gli acquisti da parte del gruppo. PayPal, carte American Express e "Bitcoin probabilmente ricavati da operazioni precedenti" erano i metodi di pagamento utilizzati dall'organizzazione.

Correlato: Furto di criptovalute: Corea del Sud stabilisce sanzioni indipendenti contro la Corea del Nord

Inoltre, APT43 era coinvolto nell'uso di malware Android per raccogliere le credenziali di persone in Cina alla ricerca di prestiti in criptovaluta. Il gruppo gestisce anche diversi siti di spoofing per la raccolta mirata di credenziali.

La Corea del Nord è stata coinvolta in numerosi furti di criptovalute, tra cui il recente exploit di Euler per oltre 195 milioni di dollari. Secondo le Nazioni Unite, nel 2022 gli hacker nordcoreani hanno realizzato un bottino record compreso tra 630 milioni e oltre 1 miliardo di dollari. Secondo Chainalysis, la cifra è di almeno 1,7 miliardi di dollari.

Traduzione a cura di Matteo Carrone