Il gruppo criminale CryptoCore ha preso di mira scambi di criptovaluta per 3 anni
Gli utenti e gli scambi di criptovaluta sono stati presi di mira dai criminali informatici negli ultimi due anni. Mentre alcuni degli attacchi sono effettuati da criminali di basso livello, ci sono anche più campagne su larga scala che hanno portato al furto di milioni di persone alla vittima. I ricercatori della sicurezza sospettano di aver finalmente raccolto abbastanza informazioni su uno dei principali gruppi di criminalità organizzata che prendono di mira gli scambi di criptovaluta in Europa, Giappone, Israele e Stati Uniti. Il gruppo, soprannominato CryptoCore, sembra avere legami con l'attore Lazarus della Advanced Persistent Threat (APT) con sede in Corea del Nord. Inoltre, i criminali CryptoCore hanno presumibilmente rubato oltre $ 200.000.000 tramite le loro campagne di attacco negli ultimi tre anni.
Le prime tracce delle attività di CryptoCore Criminal Group risalgono al 2018, quando sono andati dietro agli scambi di criptovaluta con sede in Giappone. Il bersaglio è stato avvicinato tramite allegati di posta elettronica dannosi accompagnati da un messaggio di phishing: sono stati inviati ai dipendenti dello scambio. Presumibilmente, le e-mail dannose trasportavano payload precedentemente utilizzati dall'APT Lazarus. Inoltre, gli hacker nordcoreani sono anche considerati responsabili dello sviluppo e della manutenzione di detto malware.
Le campagne del CryptoCore Criminal Group sembrano essere interamente motivate finanziariamente e non sembrano avere motivazioni politiche. Di recente, i loro attacchi hanno spostato la loro attenzione sugli scambi di criptovaluta basati su Israele. I criminali spesso si affidano a Trojan di accesso remoto (RAT) e infostealer per raggiungere i loro obiettivi. I loro metodi di consegna e contagocce continuano ad evolversi, ma le somiglianze con i precedenti attacchi di Lazarus sono indiscutibili.