Un appareil compromis d'un travailleur informatique nord-coréen a exposé le fonctionnement interne de l'équipe derrière le hack de 680 000 $ Favrr et leur utilisation des outils Google pour cibler les projets crypto.
Résumé
Un appareil compromis appartenant à un travailleur informatique nord-coréen a exposé le fonctionnement interne des acteurs de la menace.
Des preuves montrent que des opérateurs ont utilisé des outils alimentés par Google, AnyDesk et des VPN pour infiltrer des entreprises de cryptomonnaie.
Selon le détective on-chain ZachXBT, la piste a commencé avec une source non nommée qui a eu accès à l'un des ordinateurs des travailleurs, découvrant des captures d'écran, des exports Google Drive et des profils Chrome qui ont dévoilé comment les opérateurs avaient planifié et exécuté leurs stratagèmes.
En s'appuyant sur l'activité des portefeuilles et en associant des empreintes digitales numériques, ZachXBT a vérifié le matériel source et a lié les transactions cryptographiques du groupe à l'exploitation du marché de fan-tokens Favrr en juin 2025. Une adresse de portefeuille, "0x78e1a," a montré des liens directs avec les fonds volés lors de l'incident.
À l'intérieur de l'opération
L'appareil compromis a montré que la petite équipe — au total six membres — partageait au moins 31 fausses identités. Pour décrocher des emplois dans le développement blockchain, ils ont amassé des pièces d'identité délivrées par le gouvernement et des numéros de téléphone, allant même jusqu'à acheter des comptes LinkedIn et Upwork pour compléter leur couverture.
Un script d'interview trouvé sur l'appareil les montrait se vantant de leur expérience dans des entreprises de blockchain bien connues, y compris Polygon Labs, OpenSea et Chainlink.
Les outils Google étaient centraux dans leur flux de travail organisé. Les acteurs malveillants utilisaient des feuilles de calcul Drive pour suivre les budgets et les plannings, tandis que Google Translate comblait le fossé linguistique entre le coréen et l'anglais.
Parmi les informations extraites de l'appareil se trouvait un tableur montrant que les travailleurs en informatique louaient des ordinateurs et payaient pour un accès VPN afin d'acheter de nouveaux comptes pour leurs opérations.
L'équipe s'est également appuyée sur des outils d'accès à distance tels qu'AnyDesk, leur permettant de contrôler les systèmes des clients sans révéler leurs véritables emplacements. Les journaux VPN reliaient leur activité à plusieurs régions, masquant les adresses IP nord-coréennes.
Des découvertes supplémentaires ont révélé que le groupe recherchait des moyens de déployer des jetons sur différentes blockchains, explorant des entreprises d'IA en Europe et traçant de nouveaux objectifs dans l'espace crypto.
Les acteurs menaçants nord-coréens utilisent des emplois à distance
ZachXBT a trouvé le même schéma signalé dans plusieurs rapports de cybersécurité : des travailleurs informatiques nord-coréens décrochant des emplois à distance légitimes pour s'infiltrer dans le secteur de la crypto. En se faisant passer pour des développeurs freelances, ils accèdent aux dépôts de code, aux systèmes backend et à l'infrastructure des portefeuilles.
Un document découvert sur l'appareil était des notes d'entretien et des matériaux de préparation destinés à être gardés à l'écran ou à proximité lors des appels avec des employeurs potentiels.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
Des travailleurs en informatique nord-coréens ont utilisé plus de 30 fausses identités pour cibler des entreprises de crypto-monnaies : rapport
Un appareil compromis d'un travailleur informatique nord-coréen a exposé le fonctionnement interne de l'équipe derrière le hack de 680 000 $ Favrr et leur utilisation des outils Google pour cibler les projets crypto.
Résumé
Selon le détective on-chain ZachXBT, la piste a commencé avec une source non nommée qui a eu accès à l'un des ordinateurs des travailleurs, découvrant des captures d'écran, des exports Google Drive et des profils Chrome qui ont dévoilé comment les opérateurs avaient planifié et exécuté leurs stratagèmes.
En s'appuyant sur l'activité des portefeuilles et en associant des empreintes digitales numériques, ZachXBT a vérifié le matériel source et a lié les transactions cryptographiques du groupe à l'exploitation du marché de fan-tokens Favrr en juin 2025. Une adresse de portefeuille, "0x78e1a," a montré des liens directs avec les fonds volés lors de l'incident.
À l'intérieur de l'opération
L'appareil compromis a montré que la petite équipe — au total six membres — partageait au moins 31 fausses identités. Pour décrocher des emplois dans le développement blockchain, ils ont amassé des pièces d'identité délivrées par le gouvernement et des numéros de téléphone, allant même jusqu'à acheter des comptes LinkedIn et Upwork pour compléter leur couverture.
Un script d'interview trouvé sur l'appareil les montrait se vantant de leur expérience dans des entreprises de blockchain bien connues, y compris Polygon Labs, OpenSea et Chainlink.
Les outils Google étaient centraux dans leur flux de travail organisé. Les acteurs malveillants utilisaient des feuilles de calcul Drive pour suivre les budgets et les plannings, tandis que Google Translate comblait le fossé linguistique entre le coréen et l'anglais.
Parmi les informations extraites de l'appareil se trouvait un tableur montrant que les travailleurs en informatique louaient des ordinateurs et payaient pour un accès VPN afin d'acheter de nouveaux comptes pour leurs opérations.
L'équipe s'est également appuyée sur des outils d'accès à distance tels qu'AnyDesk, leur permettant de contrôler les systèmes des clients sans révéler leurs véritables emplacements. Les journaux VPN reliaient leur activité à plusieurs régions, masquant les adresses IP nord-coréennes.
Des découvertes supplémentaires ont révélé que le groupe recherchait des moyens de déployer des jetons sur différentes blockchains, explorant des entreprises d'IA en Europe et traçant de nouveaux objectifs dans l'espace crypto.
Les acteurs menaçants nord-coréens utilisent des emplois à distance
ZachXBT a trouvé le même schéma signalé dans plusieurs rapports de cybersécurité : des travailleurs informatiques nord-coréens décrochant des emplois à distance légitimes pour s'infiltrer dans le secteur de la crypto. En se faisant passer pour des développeurs freelances, ils accèdent aux dépôts de code, aux systèmes backend et à l'infrastructure des portefeuilles.
Un document découvert sur l'appareil était des notes d'entretien et des matériaux de préparation destinés à être gardés à l'écran ou à proximité lors des appels avec des employeurs potentiels.