جواسيس الإنترنت الكوريون الشماليون لم يعودوا مجرد تهديدات عن بُعد

كان اختراق Drift بقيمة 285 مليون دولار هذا الشهر، وهي منصة تداول لامركزية (DEX)، أكبر اختراق للعملات المشفرة منذ أكثر من عام، عندما خسرت منصة Bybit 1.4 مليار دولار. تم تسمية قراصنة مدعومين من الدولة الكورية الشمالية كمشتبه بهم رئيسيين في كلا الهجومين.

في الخريف الماضي، تظاهر المهاجمون بأنهم شركة تداول كمي وتواصلوا شخصياً مع فريق بروتوكول Drift في مؤتمر رئيسي للعملات المشفرة، حسبما ذكرت Drift في منشور على X يوم الأحد.

قالت منصة التداول اللامركزية: "من المفهوم الآن أن هذا يبدو نهجاً مستهدفاً، حيث استمر أفراد من هذه المجموعة في البحث المتعمد عن مساهمين محددين في Drift والتواصل معهم شخصياً، في مؤتمرات صناعية رئيسية متعددة في بلدان متعددة خلال الأشهر الستة التالية".

حتى الآن، استهدف جواسيس الإنترنت الكوريون الشماليون شركات العملات المشفرة عبر الإنترنت، من خلال المكالمات الافتراضية والعمل عن بُعد. لن يثير النهج الشخصي في المؤتمر الشكوك عادةً، لكن اختراق Drift يجب أن يكون كافياً للحضور لمراجعة الاتصالات التي تمت في الأحداث الأخيرة.

قلص الاختراق قيمة TVL الخاصة بـ Drift بأكثر من النصف في حوالي 12 دقيقة. المصدر: DefiLlama

كوريا الشمالية توسع استراتيجيات العملات المشفرة إلى ما بعد الاختراقات

وصفت شركة الطب الشرعي للبلوكشين TRM Labs الحادث بأنه أكبر اختراق لـ DeFi في عام 2026 (حتى الآن) وثاني أكبر اختراق في تاريخ Solana، بعد اختراق جسر Wormhole بقيمة 326 مليون دولار في عام 2022.

يعود الاتصال الأولي إلى حوالي ستة أشهر، لكن الاختراق نفسه يعود إلى منتصف مارس، وفقاً لـ TRM. بدأ المهاجم بنقل الأموال من Tornado Cash ونشر رمز CarbonVote Token (CVT)، بينما استخدم الهندسة الاجتماعية لإقناع الموقعين متعددي التوقيع بالموافقة على المعاملات التي منحت أذونات مرتفعة.

ثم صنعوا مصداقية لـ CVT من خلال سك كمية كبيرة وتضخيم نشاط التداول لمحاكاة الطلب الحقيقي. التقطت أوراكل Drift الإشارة وعاملت الرمز كأصل شرعي.

عندما تم تنفيذ المعاملات المعتمدة مسبقاً في 1 أبريل، تم قبول CVT كضمان، وتم زيادة حدود السحب وتم سحب الأموال في أصول حقيقية، بما في ذلك USDC.

يوضح TRM الأموال المنقولة من Tornado Cash في مارس والمستخدمة للإعداد لاختراق Drift. المصدر: TRM Labs

ذات صلة: جاسوس كوري شمالي يرتكب خطأً ويكشف علاقاته في مقابلة عمل وهمية

وفقاً لـ TRM، فإن سرعة وعدوانية عملية الغسيل اللاحقة تجاوزت ما شوهد في اختراق Bybit.

يُعتقد على نطاق واسع أن كوريا الشمالية تستخدم سرقات العملات المشفرة واسعة النطاق مثل هجمات Drift وBybit إلى جانب تكتيكات طويلة الأجل، بما في ذلك وضع عملاء في أدوار عن بعد في شركات التكنولوجيا والعملات المشفرة لتوليد دخل ثابت. وقد قال مجلس الأمن التابع للأمم المتحدة إن هذه الأموال تُستخدم لدعم برنامج الأسلحة في البلاد.

قال الباحث الأمني Taylor Monahan إن تسلل بروتوكولات DeFi يعود إلى "صيف DeFi"، مضيفاً أن حوالي 40 بروتوكولاً كان لها اتصال مع عملاء مشتبه بهم من كوريا الشمالية.

ذكرت وسائل الإعلام الحكومية الكورية الشمالية يوم الخميس أن البلاد اختبرت سلاحاً كهرومغناطيسياً وصاروخاً باليستياً قصير المدى، يُعرف باسم Hwasong-11، مجهز برؤوس حربية ذات ذخيرة عنقودية.

الأبعاد المقدرة لـ KN-23، المعروف أيضاً باسم Hwasong-11A. المصدر: Christian Maire, FRS

شبكة التسلل تغذي إيرادات ثابتة من العملات المشفرة

كشف تحقيق منفصل عن كيفية توليد شبكة من عمال تكنولوجيا المعلومات المرتبطين بكوريا الشمالية ملايين من خلال التسلل الطويل.

أظهرت البيانات التي تم الحصول عليها من مصدر مجهول ومشاركتها من قبل ZachXBT أن الشبكة تظاهرت بأنها مطورون وزرعت نفسها عبر شركات العملات المشفرة والتكنولوجيا، مولدة ما يقرب من مليون دولار شهرياً وأكثر من 3.5 مليون دولار منذ نوفمبر.

حصلت المجموعة على وظائف باستخدام هويات مزورة، وحوّلت المدفوعات من خلال نظام مشترك، ثم حولت الأموال إلى عملة نقدية وأرسلتها إلى حسابات مصرفية صينية عبر منصات مثل Payoneer.

ربط تتبع المحفظة جزءاً من التدفق بالعناوين المرتبطة بنشاط كوري شمالي معروف، حسبما قال المحقق في البلوكشين. المصدر: ZachXBT

ذات صلة: هل أنت موظف مستقل؟ قد يستخدمك جواسيس كوريون شماليون

اعتمدت العملية على بنية تحتية أساسية، بما في ذلك موقع ويب مشترك بكلمة مرور مشتركة ولوحات صدارة داخلية لتتبع الأرباح.

تقدم العملاء للوظائف بشكل علني باستخدام VPN ووثائق مزورة، مشيرين إلى استراتيجية طويلة الأجل لزرع عملاء لاستخراج إيرادات ثابتة.

تتطور الدفاعات مع انتشار تكتيكات التسلل

واجهت Cointelegraph مخططاً مماثلاً في تحقيق عام 2025 قاده Heiner García، الذي أمضى أشهراً في التواصل مع عميل مشتبه به.

شاركت Cointelegraph لاحقاً في مقابلة وهمية لـ García مع مشتبه به كان يُدعى "Motoki"، والذي ادعى أنه ياباني. غادر المشتبه به المكالمة بغضب بعد فشله في تقديم نفسه بلهجته الأصلية المزعومة.

وجد التحقيق أن العملاء تجاوزوا القيود الجغرافية باستخدام الوصول عن بُعد إلى الأجهزة الموجودة فعلياً في بلدان مثل الولايات المتحدة. بدلاً من VPN، قاموا بتشغيل تلك الأجهزة مباشرة، مما جعل نشاطهم يبدو محلياً.

بحلول الآن، أدرك صائدو المواهب في مجال التكنولوجيا أن الشخص في الطرف الآخر من مقابلة العمل الافتراضية قد يكون بالفعل جاسوس إلكتروني كوري شمالي. استراتيجية الدفاع الفيروسية هي أن تطلب من المشتبه بهم إهانة كيم جونغ أون. حتى الآن، كانت هذه التكتيكات فعالة.

يتجمد عامل تكنولوجيا معلومات كوري شمالي مشتبه به عندما طُلب منه أن يصف كيم جونغ أون بـ "الخنزير السمين القبيح". المصدر: Tanuki42

ومع ذلك، نظراً لأن Drift تم التواصل معها شخصياً وأظهرت نتائج García عملاء يجدون طرقاً إبداعية لتجاوز القيود الجغرافية، فقد استمر الفاعلون الكوريون الشماليون في التكيف مع ديناميكية القط والفأر.

يعد طلب من المقابلين أن يصفوا الزعيم الأعلى لكوريا الشمالية بـ "الخنزير السمين" استراتيجية فعالة في الوقت الحالي، لكن الباحثين الأمنيين يحذرون من أن هذا لن ينجح إلى الأبد.

مجلة: فحوصات بيتكوين وهمية، الصين تتتبع الضرائب على البلوكشين: آسيا إكسبريس