Een hacker groep gelinkt aan het Kim Jong-Un regime, APT43, heeft alle ‘forensische sporen’ van gestolen fondsen vermeden door gebruik te maken van mining diensten. Cybersecurity bedrijf Mandiant heeft gerapporteerd dat de in Noord-Korea gevestigde cybercrime operator Advanced Persistent Threat (APT43) ‘gestolen crypto gebruikt om schone crypto te minen’.
Een cybersecurity bedrijf eigendom van Google, Mandiant, heeft APT43 al vijf jaar gevolgd en heeft de groep geïdentificeerd als een onafhankelijke entiteit. De activiteiten van de groep suggereren dat de leden deel uitmaken van het Noord-Koreaanse spionageagentschap Reconnaissance General Bureau. De voornaamste activiteiten omvatten spionage, het hacken van particuliere industrieën, denktanks en academici in Zuid-Korea, Japan, de VS en Europa. De groep gebruikt phishing tactieken om de referenties van het slachtoffer te stelen en malware op hun computersystemen te installeren.
Daarnaast heeft Mandiant echter ontdekt dat APT43 ook betrokken is bij winstgerichte cybercriminaliteit. Dit houdt het stelen van cryptocurrencies in om geld in te zamelen voor het Noord-Koreaanse regime of om de operaties van de groep te financieren.
APT43 steelt en witwast genoeg cryptocurrency om operationele infrastructuur te kopen op een manier die aansluit bij de Noord-Koreaanse juche-staatideologie van zelfredzaamheid, waardoor de fiscale druk op de centrale overheid wordt verminderd.
Het rapport onthult dat ATP43 de gestolen digitale tokens in een ‘hashing service’ stort die gebruikers in staat stelt om cloud-gebaseerde mining-diensten te huren en nieuwe cryptocurrencies te ontvangen. Deze nieuwe munten hebben geen duidelijke banden met criminele activiteiten.
Door deze methode te gebruiken, wordt de groep in staat gesteld om de gestolen fondsen te innen terwijl ze voorkomen dat deze worden bevroren of in beslag genomen. Een Threat intelligence-analist bij Mandiant, Joe Dobson, beschreef de procedure als ‘het breken van de chain’, waarbij werd uitgelegd dat het elke ‘forensische spoor van bewijs’ op de blockchain-netwerken vermijdt.
Mandiant begon tekenen van APT43’s crypto witwasactiviteiten op te merken in augustus 2022. Sindsdien heeft het tienduizenden dollars aan cryptocurrency geïdentificeerd die naar cloud mining providers zoals Hashing24 en NiceHash zijn gestuurd.
Het cybersecurity-bedrijf identificeerde American Express Cards, PayPal en ‘Bitcoin waarschijnlijk afkomstig van eerdere operaties’ als de gebruikte betaalmethoden voor verschillende aankopen. APT43 wordt er ook van beschuldigd Android malware te gebruiken om de referenties van klanten die op zoek zijn naar crypto leningen in China te stelen.