Nell’ecosistema delle criptovalute, le monete hanno una storia, tracciata nelle blockchain immutabili alla base della loro economia. L’unica eccezione, in un certo senso, è la criptovaluta che è stata appena generata dalla potenza di calcolo del suo proprietario. Quindi risulta che gli hacker nordcoreani abbiano iniziato ad adottare un nuovo trucco per riciclare le monete che rubano alle vittime in tutto il mondo: pagare le loro monete sporche e rubate in servizi che consentono loro di estrarne di nuove innocenti.
Oggi, la società di sicurezza informatica Mandiant ha pubblicato un rapporto su un prolifico gruppo di hacker sponsorizzato dallo stato nordcoreano che ora chiama APT43, a volte noto con i nomi di Kimsuky e Thallium. Il gruppo, le cui attività suggeriscono che i suoi membri lavorino al servizio dell’agenzia di spionaggio Reconnaissance General Bureau della Corea del Nord, si è concentrato principalmente su spionaggio, hacking di think tank, accademici e industria privata dagli Stati Uniti all’Europa, alla Corea del Sud e al Giappone da quando a Almeno il 2018, principalmente con campagne di phishing progettate per raccogliere credenziali dalle vittime e installare malware sulle loro macchine.
Come molti gruppi di hacker nordcoreani, anche APT43 mantiene un ruolo secondario nel crimine informatico incentrato sul profitto, secondo Mandiant, rubando qualsiasi criptovaluta che possa arricchire il regime nordcoreano o anche solo finanziare le operazioni degli hacker. E poiché le autorità di regolamentazione di tutto il mondo hanno rafforzato la presa sugli scambi e sui servizi di riciclaggio che ladri e hacker utilizzano per incassare monete contaminate da criminali, APT43 sembra provare un nuovo metodo per incassare i fondi che ruba impedendo che vengano sequestrati o congelati: Paga quella criptovaluta rubata in “servizi di hashing” che consentono a chiunque di noleggiare il tempo sui computer utilizzati per estrarre criptovaluta, raccogliendo monete appena estratte che non hanno legami apparenti con attività criminali.
Quel trucco minerario consente ad APT43 di trarre vantaggio dal fatto che la criptovaluta è relativamente facile da rubare, evitando al tempo stesso la scia di prove forensi che lascia sulle blockchain, il che può rendere difficile per i ladri incassare. “Rompe la catena”, afferma Joe Dobson, un analista di intelligence sulle minacce di Mandiant. “È come un rapinatore di banche che ruba argento da un caveau di una banca e poi va da un minatore d’oro e paga il minatore con argento rubato. Tutti cercano l’argento mentre il rapinatore va in giro con l’oro appena estratto.»
Mandiant afferma di aver iniziato a vedere i segni della tecnica di lavanderia basata sul mining di APT43 nell’agosto del 2022. Da allora, decine di migliaia di dollari di criptovalute sono confluiti nei servizi di hashing, servizi come NiceHash e Hashing24, che consentono a chiunque di acquistare e vendere potenza di calcolo per calcolare le stringhe matematiche note come “hash” che sono necessarie per estrarre la maggior parte delle criptovalute, da quelli che crede siano portafogli crittografici APT43. Mandiant afferma di aver visto anche importi simili affluire ai portafogli APT43 dai “pool” di mining, servizi che consentono ai minatori di contribuire con le proprie risorse di hashing a un gruppo che paga una quota di qualsiasi criptovaluta che il gruppo estrae collettivamente. (Mandiant ha rifiutato di nominare i servizi di hashing o i pool di mining a cui ha partecipato APT43.)
In teoria, i pagamenti da quei pool dovrebbero essere puliti, senza legami con gli hacker di APT43: questo sembra, dopotutto, essere il punto dell’esercizio di riciclaggio del gruppo. Ma in alcuni casi di trascuratezza operativa, Mandiant afferma di aver scoperto che i fondi erano comunque mescolati con criptovalute nei portafogli che aveva precedentemente identificato dal suo monitoraggio di anni di campagne di hacking APT43.
