Kraken, un importante exchange di criptovalute, ha scoperto un tentativo di infiltrazione sofisticato da parte di un hacker nordcoreano che si spacciava per un candidato a un lavoro.
I team di sicurezza e reclutamento hanno fatto avanzare il candidato nel processo di assunzione. L’obiettivo era studiare le loro strategie e raccogliere informazioni cruciali.
Come un hacker nordcoreano ha cercato di infiltrarsi in Kraken
Kraken ha dettagliato l’incidente in un recente post sul blog il 1° maggio. L’hacker ha fatto domanda per un ruolo di ingegnere presso l’exchange, inizialmente apparendo come un candidato legittimo, presumibilmente chiamato Steven Smith. Tuttavia, durante il processo di assunzione sono emersi diversi segnali di allarme.
“Quello che è iniziato come un normale processo di assunzione per un ruolo di ingegnere si è rapidamente trasformato in un’operazione di raccolta di informazioni, poiché i nostri team hanno fatto avanzare con attenzione il candidato nel nostro processo di assunzione per imparare di più sulle loro tattiche a ogni fase del processo,” ha notato Kraken.
Il candidato ha usato un nome diverso durante l’intervista e continuava a cambiare voce, suggerendo un coaching. Hanno fatto domanda utilizzando un’email collegata a hacker nordcoreani.
Inoltre, l’indagine di raccolta di informazioni Open-Source Intelligence (OSINT) ha rivelato il coinvolgimento del candidato in una rete di identità false.
“Questo significava che il nostro team aveva scoperto un’operazione di hacking in cui un individuo aveva stabilito più identità per candidarsi a ruoli nel settore crypto e oltre. Diversi dei nomi erano stati precedentemente assunti da più aziende, poiché il nostro team ha identificato indirizzi email di lavoro collegati a loro. Un’identità in questa rete era anche un noto agente straniero nella lista delle sanzioni,” si legge nel blog.
Inoltre, le incongruenze tecniche nel loro setup, come l’uso di desktop Mac remoti e collocati accessibili tramite una VPN e ID alterati, indicavano un tentativo di infiltrazione. Queste informazioni hanno confermato che il candidato era probabilmente un hacker sponsorizzato dallo stato.
In un’intervista finale con il candidato, il Chief Security Officer di Kraken, Nick Percoco, e alcuni membri del team hanno confermato i sospetti dell’azienda. L’incapacità del candidato di verificare la propria posizione o rispondere a domande sulla loro città e cittadinanza li ha rivelati come impostori.
“Il loro lavoro è iniziare l’impiego per rubare proprietà intellettuale, rubare denaro da quelle aziende, portare a casa uno stipendio e farlo in modo diffuso,” ha detto Percoco a CBS riguardo agli hacker.
Fincen propone il divieto su Huione Group per legami con la Corea del Nord
Nel frattempo, in un altro sviluppo, la Financial Crimes Enforcement Network (FinCEN) degli Stati Uniti ha proposto di vietare al gruppo Huione con sede in Cambogia di accedere al sistema finanziario statunitense. Il dipartimento ha identificato Huione come un facilitatore chiave per i gruppi di hacker nordcoreani, inclusi quelli coinvolti in rapine informatiche e truffe crypto “pig butchering”.
“Il gruppo Huione si è affermato come il mercato di scelta per attori informatici malevoli come la DPRK e sindacati criminali, che hanno rubato miliardi di dollari agli americani comuni,” ha detto il Segretario del Tesoro Scott Bessent.
FinCEN ha accusato il gruppo di aver riciclato oltre 4 miliardi di dollari in fondi illeciti tra agosto 2021 e gennaio 2025. Secondo il dipartimento, la rete di Huione, inclusi Huione Pay, Huione Crypto e Haowang Guarantee, è un mercato preferito per i criminali delle criptovalute, offrendo servizi come l’elaborazione dei pagamenti e un mercato online illecito.
“L’azione proposta oggi interromperà l’accesso del gruppo Huione al banking corrispondente, degradando la capacità di questi gruppi di riciclare i loro guadagni illeciti. Il Tesoro rimane impegnato a interrompere qualsiasi tentativo da parte di attori informatici malevoli di assicurarsi entrate dai loro schemi criminali o per essi,” ha aggiunto Bessent.
Questi incidenti hanno evidenziato un modello di attacchi informatici nordcoreani sul settore delle criptovalute. Nel 2024, gli hacker hanno rubato oltre 659 milioni di dollari da aziende crypto.
Secondo una dichiarazione congiunta di Stati Uniti, Giappone e Repubblica di Corea, gli hacker nordcoreani hanno preso di mira l’industria utilizzando tattiche come l’ingegneria sociale e malware (ad esempio, TraderTraitor, AppleJeus). Inoltre, i lavoratori IT nordcoreani sono stati identificati come minacce interne per le aziende del settore privato.
In precedenza, i rapporti di BeInCrypto hanno evidenziato il famigerato Lazarus Group, un collettivo di hacking sponsorizzato dallo stato nordcoreano coinvolto nei furti di Bybit e Upbit. Inoltre, gruppi di hacker del paese erano anche dietro l’hack di Radiant Capital e lo sfruttamento di DMM Bitcoin.
Infatti, recentemente, l’investigatore on-chain ZachXBT ha scoperto un significativo coinvolgimento nordcoreano nei protocolli di finanza decentralizzata (DeFi), con alcuni di essi che si affidano quasi al 100% del loro volume/mensile dalle entrate della Repubblica Popolare Democratica di Corea (DPRK).
Dichiarazione di non responsabilità
Tutte le informazioni contenute nel nostro sito web sono pubblicate in buona fede e solo a scopo informativo generale. Qualsiasi azione intrapresa dal lettore in base alle informazioni contenute nel nostro sito web è strettamente a suo rischio e pericolo.
