Barnhart, Kuzey Kore’nin para katırları gibi diğer insanlara güvenmenin operasyonlarını daha az etkili hale getirebileceğini fark ettiğini söyledi. Bunun yerine, kripto para çalabilirler. Barnhart, bu taktiksel değişimden iki grup ortaya çıktı. “TraderTraitor en sofistike olanıdır” diyor. “Peki neden? Çünkü APT38 A takımıydı.”
O zamandan beri, TraderTraitor son yıllarda birden fazla büyük ölçekli kripto para hırsızlığına bağlandı. Örneğin, Japonya merkezli kripto para birimi şirketi DMM’den 308 milyon dolarlık hırsızlık FBI, Savunma Bakanlığı ve Japonya’daki polis tarafından TraderTraitor’a bağlandı.
TraderTraitor tipik olarak Web3 firmalarında çalışan kişileri mızrak-aktarma mesajları kullanarak hedefler-çoğu zaman yazılım geliştirme üzerinde çalışan kişiler. Microsoft’un DeGrippo’sı, “Bu şirketlerde çalışan bireyleri biliyorlar, onları izliyorlar, üzerinde profiller var, hangi ticaret platformlarının en çok hacmi yaptığını biliyorlar. Tüm bu sektöre odaklanıyorlar, onu geri ve ileri anlıyorlar” diyor.
Microsoft’a ait olan GitHub, Temmuz 2023’te TraderTraitor’un kodlama platformunda sahte hesaplar ve LinkedIn, Slack ve Telegram’ın nasıl oluşturduğu vurgulandı. Github’un araştırması, tüccar suçlularının hedeflerine mesaj göndermek veya saldırıya uğrayan gerçek hesapları kullanmak için kullandıkları sahte kişiler yaratabileceğini söylüyor. Bu durumda, TraderTraitor geliştiricileri, kötü amaçlı kod kullanarak kötü amaçlı yazılımlarla enfekte etmeden önce GitHub’da işbirliği yapmaya davet etti. Son zamanlarda, Palo Alto Networks birimi 42 Tehdit İstihbarat Ekibi’ndeki güvenlik araştırmacıları, LinkedIn’de 50 Kuzey Koreli işe alım profili buldu ve onları TraderTraitor’a bağladılar.
Grup, Google’ın Tehdit İstihbarat Grubu’nda kıdemli bir tehdit analisti olan Adrian Hernandez, Plottwist ve Tiedye gibi “özel backdoors” kullanılarak görülüyor. Hernandez, “Bunlar tipik olarak tespit ve engelleme analizini önlemek için ağır bir şekilde gizleniyor” diyor. “Bir kez UNC4899 [TraderTraitor] Geçerli kimlik bilgilerine erişim sağladıktan sonra, bu tehdit aktörünün yanal olarak hareket ettiğini ve ana bilgisayarlara ve sistemlere erişmek için diğer hesaplara erişmeyi, düşük profilli tutmayı ve algılamadan kaçmayı amaçladığını gözlemledik. ”
Kuzey Koreli bilgisayar korsanlarının kripto para birimi veya dijital cüzdanlar üzerinde ellerini aldıktan sonra, kara para aklama, Bybit Hack’i parçalayan bir blog yazısında belirtilen kripto para birimi izleme firması eliptik gibi benzer bir desen izler. Kripto para birimi cüzdanlarının dondurulmasını önlemek için, eter ve bitcoin gibi sınırlandırılması daha ana akım kripto para varlıkları için, genellikle merkezi varlıklar tarafından verilen ve bunlara kısıtlamalar sağlayabilecek çalıntı jetonları hızla değiştirirler.
Elliptic, “Akalizasyon sürecinin ikinci adımı, işlem izini gizlemeye çalışmak için çalınan fonları ‘katmanlamak’” diyor. Bu, fonların daha az miktarlara bölünmesi ve birden fazla cüzdana gönderilmesi anlamına gelir. Bybit ile eliptik yazıyor, daha sonra önümüzdeki günlerde boşaltılan 50 farklı cüzdana para gönderildi. Bu kripto para birimi daha sonra çeşitli kripto para birimi borsalarından hareket ettirilir, bitcoin’e dönüştürülür ve kripto işlemlerini gizlemeyi amaçlayan kripto mikserlerinden geçer.
Elliptic, blog yazısında, “Kuzey Kore, var olan kripto varlıklarının en sofistike ve iyi kaynaklanan yıkayıcısıdır ve tekniklerini sürekli olarak çalıntı varlıkların tanımlanması ve ele geçirilmesinden kaçınmaya uyarlar,” diyor Elliptic blog yazısında.