كشفت شركة الأمن السيبراني “Mandiant”، المملوكة لشركة Google، عن عملية تصيّد إلكتروني واسعة النطاق نفذتها جهات تهديد مرتبطة بكوريا الشمالية، استهدفت مستخدمي شبكة TRON للعملات المشفرة، وأسفرت عن سرقة أكثر من 137 مليون دولار خلال يوم واحد فقط.
هجمات تستهدف قطاع Web3 والعملات الرقمية
بحسب تقرير “M-Trends 2025″، ركزت الجماعات التابعة لكوريا الشمالية – المعروفة رسميًا باسم جمهورية كوريا الديمقراطية الشعبية (DPRK) – على اختراق قطاع Web3 والعملات الرقمية، بهدف تحقيق أرباح مالية لتجاوز العقوبات الاقتصادية المفروضة على بيونغ يانغ.
وقالت Mandiant:
“تهدف هذه الأنشطة إلى تمويل برنامج كوريا الشمالية للأسلحة النووية وغيرها من الأصول الاستراتيجية.”
أدوات خبيثة متعددة المنصات
طورت الجهات المهاجمة أدوات مخصصة مكتوبة بلغات مثل Golang وC++ وRust، وقادرة على استهداف أنظمة التشغيل Windows وLinux وmacOS، مما يمنحهم قدرة مرنة لاختراق بيئات متنوعة.
مجموعات التهديد النشطة
رصدت Mandiant ثلاث مجموعات تهديد نشطة بارزة، هي:
-
UNC1069 (نشطة منذ أبريل 2018): تعتمد على الهندسة الاجتماعية، وتستخدم رسائل تصيّد عبر Telegram تنتحل هوية مستثمرين وشركات مرموقة لاستدراج الضحايا وسرقة أصولهم الرقمية.
-
UNC4899 (نشطة منذ 2022): تُعرف بحملاتها الزائفة المتعلقة بالتوظيف، حيث تقدم تحديات برمجية تحتوي على برمجيات خبيثة. وقد نفذت سابقًا هجمات على سلاسل التوريد بهدف الربح. (تتداخل مع Jade Sleet وPUKCHONG وTraderTraitor).
-
UNC5342 (نشطة منذ ديسمبر 2022): تُوظّف أيضًا خدع التوظيف لخداع المطورين وتشغيل مشاريع تحتوي على برمجيات ضارة. (تتداخل مع Contagious Interview وDeceptiveDevelopment وFamous Chollima).
كما تم رصد مجموعة تهديد أخرى تُدعى UNC4736، ركّزت على قطاع البلوكشين من خلال تلغيم تطبيقات التداول، وتورطت في هجوم سلسلة توريد استهدف شركة 3CX في أوائل 2023.
عملية TRON: سرقة ضخمة في يوم واحد
أشارت Mandiant إلى مجموعة إضافية تُعرف باسم UNC3782، نفذت حملات تصيّد ضخمة استهدفت مستخدمي العملات المشفرة.
وقال التقرير:
“في عام 2023، نفذت UNC3782 حملة تصيّد ضد مستخدمي TRON، نتج عنها تحويل أصول رقمية بقيمة تجاوزت 137 مليون دولار في يوم واحد فقط.”
كما استهدفت الحملة التالية في 2024 مستخدمي Solana عبر صفحات مزيفة تحتوي على أدوات تصريف العملات المشفرة (cryptocurrency drainers).
خطة التسلل من الداخل عبر وظائف وهمية
منذ عام 2022، اعتمدت كوريا الشمالية أسلوبًا جديدًا عبر مجموعة تهديد تُعرف بـ UNC5267، حيث أرسلت آلاف العاملين في مجال تكنولوجيا المعلومات إلى وظائف عن بُعد في شركات بأمريكا وأوروبا وآسيا، بينما يعيشون فعليًا في الصين وروسيا.
يرتبط معظم هؤلاء العاملين بـ”المكتب العام 313 التابع لوزارة صناعة الأسلحة” – وهو الكيان المسؤول عن البرنامج النووي الكوري الشمالي.
وقد استخدم هؤلاء تقنيات مثل:
-
هويات مسروقة ومزيفة بالكامل
-
تقنيات التزييف العميق (Deepfake) لإنشاء شخصيات افتراضية أثناء المقابلات الوظيفية
وصرّح الباحث إيفان غوردينكر من Palo Alto Networks:
“يسمح هذا الأسلوب لمشغّل واحد بإجراء مقابلات متعددة للوظيفة ذاتها بهويات مختلفة، ويقلل من احتمال اكتشافه أو إدراجه في نشرات أمنية.”
تهديد داخلي منظم
تهدف هذه الخطة إلى:
-
تحويل الرواتب إلى بيونغ يانغ
-
الحفاظ على وصول طويل الأمد إلى شبكات الضحايا
-
تنفيذ عمليات ابتزاز وسرقة بيانات
وفي تقرير صادر عن Google GTIG، أشار الباحثان جيمي كوليير ومايكل بارنهارت إلى أن العاملين الكوريين الشماليين استخدموا وصولهم المميز في الشبكات الداخلية لتنفيذ هجمات إلكترونية، وسرقة البيانات، وابتزاز أصحاب العمل.
وفي حالة تم رصدها عام 2024، استخدم أحد موظفي تكنولوجيا المعلومات الكوريين الشماليين 12 هوية مختلفة للتقديم على وظائف في الولايات المتحدة وأوروبا.
وفي حالة أخرى، تم توظيف أربعة أفراد من كوريا الشمالية في مؤسسة واحدة خلال عام واحد دون اكتشاف هوياتهم الحقيقية.
