FOCUS ON

Lazarus Group ruba criptovalute per finanziare il governo nordcoreano

15 Novembre 2023

I gruppi State-sponsored nordcoreani si muovono ormai in modo consolidato nel solco di una doppia strategia che coniuga operazioni di cyberspionaggio e attacchi finalizzati all’autofinanziamento. Il più attivo di tutti, Lazarus Group, nell’ultimo anno ha messo a segno una serie di campagne di notevole impatto contro i settori del trading finanziario e delle criptovalute.

Tra marzo e aprile è stata scoperta una doppia campagna supply-chain che ha impattato, in primis, i sistemi della FinTech Trading Technologies, e poi il portale per il download di un’applicazione VoIP della compagnia 3CX. Dalla prima segnalazione e per diverse settimane, gli analisti sono andati ricostruendo, a ritroso, le fasi dell’attacco, avviato presumibilmente a dicembre 2022, segnalando via via un numero sempre crescente di vittime su scala globale.

Sebbene siano evidenti le caratteristiche di un attacco a vasto raggio, alcune violazioni sono risultate particolarmente mirate. Ad esempio, una versione trojanizzata dell’applicazione X_TRADER ha consentito a Lazarus di colpire infrastrutture critiche energetiche in Europa e USA e due organizzazioni del trading finanziario. Grazie ad una versione trojanizzata di 3CXDesktopApp, invece, è riuscito a violare le reti di alcuni operatori del settore delle criptovalute. Le analisi della campagna hanno occupato i ricercatori almeno fino a giugno, quando il National Cyber Security Centre del Regno Unito ha rilasciato un report su uno dei malware utilizzato da Lazarus. L’arsenale dispiegato comprende infostealer, backdoor per sistemi macOS, Windows e Linux ed exploit per vulnerabilità note e 0day.

Nelle ultime settimane, sono state descritte nuove campagne di Lazarus Group contro il settore delle criptovalute. In una di queste offensive, gli avversari hanno sfruttato tecniche di Social Engineering per distribuire un inedito malware per macOS contro ingegneri blockchain di un exchange di criptovalute. Nello specifico, hanno impersonato membri di una community di ingegneria blockchain su un Discord pubblico e, attraverso un messaggio diretto, hanno indotto il target a scaricare un’applicazione Python che veniva presentata come un bot di arbitraggio legittimo, progettato per la generazione automatica di profitti dalle transazioni di criptovalute. In realtà, l’archivio ZIP scaricato dalla vittima contiene script malevoli che avviano il processo di infezione. Il malware per macOS utilizzato nella fase finale, chiamato KANDYKORN, opera in modo silente e può raccogliere informazioni di sistema, elencare il contenuto delle directory, esfiltrare file, caricare file sul computer infettato, cancellare dati, elencare tutti i processi in esecuzione e terminarli, terminare programmi ed eseguire comandi di sistema.

Un secondo attacco ha sfruttato un’altra minaccia inedita per macOS, chiamata ObjCShellz. In questo caso i target sono stati contattati da un sedicente investitore o head hunter che proponeva loro collaborazioni o affari vantaggiosi. Per ricevere dagli attaccanti i comandi da eseguire, ObjCShellz comunica con un dominio malevolo, registrato a maggio 2023, il cui nome imita quello legittimo dell’exchange SwissBorg. A ottobre di quest’anno, l’exchange svizzero ha effettuato la migrazione dal token nativo CHSB al nuovo standard DeFi BORG. L’operazione è nota da tempo e Lazarus sembra aver approfittato della situazione con notevole tempismo.

Gli analisti hanno rilevato elementi di contatto fra la campagna ObjCShellz e precedenti operazioni di Lazarus basate sul malware RustBucket. In una di esse, avviata almeno a dicembre 2022, Lazarus ha sfruttato LinkedIn per le fasi di intrusione iniziale e, per l’infrastruttura di rete, ha registrato domini i cui nomi imitano quelli di entità legittime del settore finanziario, delle criptovalute e tecnologico situate in Europa, Asia e Nord America.

Nel 2023, il team nordcoreano è stato indicato come il responsabile di furti di cryptovalute ai danni delle piattaforme Atomic Wallet, CoinsPaid, Alphapo e Stake.com per un totale di quasi 240 milioni di dollari (quasi 224 milioni di euro). Inoltre, ad agosto 2023, l’FBI ha rilasciato un comunicato per mettere in guardia le società di criptovalute in merito ad attività di blockchain collegate al furto di centinaia di milioni di dollari, attribuite a questo gruppo. L’Agenzia federale aveva allora scoperto che l’APT aveva spostato circa 1.580 bitcoin, ottenuti da diverse attività di furto di criptovalute, verso alcuni indirizzi bitcoin di cui aveva il controllo. E infine, Lazarus è il principale sospettato del furto di criptovalute, valutato intorno a 54 milioni di dollari (circa 50 milioni di euro), subito lo scorso settembre dall’exchange CoinEx.

Si stima che, da gennaio a settembre 2023, la Corea del Nord abbia raccolto, nel complesso, più di 340 milioni di dollari (circa 316 milioni di euro).