Північнокорейські хакерські угрупування почали активніше атакувати з використанням приманки у вигляді фрілансерської роботи в ІТ і крипті для отримання доступу до хмарних систем і крадіжки криптовалют. У звіті від Google Cloud говориться, що Google Threat Intelligence Group "активно відстежує" UNC 4899 (TraderTraitor, Jade Sleet або Slow Pisces) - хакерський підрозділ КНДР, який успішно зламало дві компанії після контакту з працівниками через соціальні мережі. Його пов'язують з Lazarus Group та Kimsuky Group.

В обох випадках UNC 4899 давала працівникам завдання, які призводили до запуску шкідливого ПЗ на їхніх робочих станціях, що дозволяло зловмисникам встановити з'єднання між своїми командними центрами та хмарними системами цільових компаній.

В результаті UNC 4899 змогли дослідити хмарні середовища жертв, отримуючи облікові дані та зрештою ідентифікуючи хости, відповідальні за обробку криптовалютних транзакцій. Хоча кожен окремий інцидент націлювався на різні компанії та хмарні сервіси (Google Cloud та AWS), обидва призвели до крадіжки криптовалют на кілька мільйонів.

З початку 2025 року північнокорейські хакери вже вкрали близько $1,6 млрд.

Вони були одними з перших, хто швидко взяв на озброєння нові технології, такі як ШІ, які вони використовують для створення більш переконливих листів та написання своїх шкідливих скриптів.

Група TraderTraitor також відповідальна за найбільші атаки: злам японської DMM Bitcoin на $305 млн, а також криптобіржі Bybit на $1,5 млрд.

Північній Кореї стати лідером у хакерстві криптовалют: ця країна була відповідальна за 35% усіх вкрадених коштів минулого року.