Riepilogo degli Attacchi degli Hacker Nordcoreani
Come sono riusciti gli hacker nordcoreani a infiltrarsi negli ambienti cloud per rubare criptovalute? Secondo il rapporto “H2 2025 Cloud Threat Horizons” di Google Cloud, il team di Threat Intelligence dell’azienda sta monitorando UNC4899, un gruppo di hacker legato alla Corea del Nord, accusato di aver violato due organizzazioni dopo aver contattato i dipendenti tramite piattaforme di social media. “Attivo almeno dal 2020, UNC4899 mira principalmente alle industrie delle criptovalute e della blockchain e ha dimostrato una capacità sofisticata di eseguire compromessi complessi della catena di approvvigionamento,” ha dichiarato il rapporto.
Incidenti Rilevati e Metodi Utilizzati
Il documento ha evidenziato che, tra il terzo trimestre del 2024 e il primo trimestre del 2025, la società di cybersecurity Mandiant ha risposto a due incidenti separati legati a UNC4899, che hanno impattato l’ambiente Google Cloud di un’organizzazione e l’ambiente AWS di un’altra. Sebbene le fasi iniziali e finali delle intrusioni condividessero tattiche comuni, i metodi utilizzati durante le fasi intermedie variavano, riflettendo probabilmente differenze nelle architetture di sistema delle vittime.
Strategie di Infiltrazione
Il rapporto dettaglia ulteriormente che, nella fase iniziale di questi attacchi, gli hacker hanno stabilito contatti con le vittime tramite piattaforme di social media, uno attraverso Telegram e l’altro tramite LinkedIn, spacciandosi per reclutatori di sviluppo software freelance. I dipendenti presi di mira sono stati quindi indirizzati, senza saperlo, a eseguire contenitori Docker malevoli sui loro workstation. Questa azione ha attivato il dispiegamento di malware, inclusi downloader come GLASSCANNON e payload secondari come le backdoor PLOTTWIST e MAZEWIRE, consentendo infine agli attaccanti di connettersi ai loro server di comando e controllo (C2).
“In entrambi i casi, UNC4899 ha condotto diverse attività di ricognizione interna sugli host e sugli ambienti connessi delle vittime, prima di ottenere materiali di credenziali che hanno utilizzato per accedere agli ambienti cloud delle vittime,” ha notato il rapporto.
False Offerte di Lavoro e Sanzioni
Gli hacker nordcoreani hanno sempre più fatto affidamento su offerte di lavoro false per infiltrarsi nelle aziende. A luglio, il Tesoro degli Stati Uniti ha sanzionato Song Kum Hyok per aver presumibilmente gestito uno schema che collocava lavoratori IT nordcoreani travestiti in aziende statunitensi per generare entrate per la Repubblica Popolare Democratica di Corea (DPRK). Questi lavoratori, spesso basati in Cina o Russia, utilizzavano identità e nazionalità false, con i datori di lavoro ignari dell’inganno.
Rafforzare la Sicurezza nelle Piattaforme Crypto
Mentre le minacce globali spingono le piattaforme crypto a rafforzare la sicurezza, questo è un potente promemoria del perché ecosistemi decentralizzati e guidati dalla comunità, come Shibarium, siano importanti. A differenza delle configurazioni tradizionali vulnerabili a sfruttamenti centralizzati, l’infrastruttura aperta di Shibarium consente agli sviluppatori di costruire con trasparenza, resilienza e fiducia al centro. Invece di fare affidamento su un singolo punto di fallimento, Shibarium distribuisce il controllo attraverso una rete di validatori, sviluppatori e partecipanti della comunità.
Questa decentralizzazione non solo rende più difficile per attori malintenzionati, come gruppi di hacking sostenuti dallo stato, ottenere una presa, ma consente anche una rilevazione e una risposta più rapide quando si presentano vulnerabilità.
Conclusione
Mentre lo spazio crypto affronta crescenti rischi informatici, ecosistemi come Shibarium enfatizzano un percorso diverso, radicato nella decentralizzazione, nella trasparenza e in un impegno condiviso per costruire strumenti che servano, non sfruttino, le persone. Gli attori minacciosi nordcoreani utilizzano il malware NimDoor per colpire i dispositivi Apple. Il gruppo Lazarus della Corea del Nord è collegato a un nuovo furto di criptovalute da 3,2 milioni di dollari. Gli hacker nordcoreani rubano miliardi di criptovalute mentre si spacciano per VC.
