Golang, Rust и немного диктатуры: чем пахнут атаки северокорейских хакеров в 2025

Многочисленные хакерские группы, связанные с Северной Кореей, вновь оказались в центре внимания из-за серии атак на разработчиков и компании, работающие в сфере Web3 и криптовалют. По данным нового отчёта компании Mandiant, вектор атак остаётся прежним — финансовая выгода и обход международных санкций. Однако используемые методы становятся всё изощрённее и масштабнее.

Главная цель операций — обеспечить приток валюты для финансирования стратегических проектов страны, включая ядерную программу. Для этого задействуется целый арсенал инструментов, включая вредоносное ПО на языках Golang, C++ и Rust, способное заражать системы под управлением Windows, Linux и macOS. Под прицел попадают как индивидуальные разработчики, так и целые организации, занятые в разработке блокчейн-проектов.

Mandiant зафиксировала как минимум три активных кластера: UNC1069, UNC4899 и UNC5342. Первый действует с 2018 года и специализируется на социальной инженерии — фальшивых приглашениях на встречи и переписке от имени инвесторов в Telegram. Второй — UNC4899 — работает с 2022 года, заманивая жертв под видом вакансий и тестовых заданий, внедряя вредоносный код в инфраструктуру. Третий, UNC5342, также использует тему трудоустройства, маскируя вредоносные проекты под легитимные. Все три группы активно охотятся за криптокошельками и доступом к ключевым корпоративным системам.

Дополнительный интерес представляет группа UNC4736, которая атаковала блокчейн-сферу через троянизированные программы для торговли и стала причиной цепной компрометации, затронувшей компанию 3CX в 2023 году. Ещё один актор — UNC3782 — в 2023 году провёл масштабную фишинговую кампанию против пользователей TRON, украв активы на сумму свыше $137 миллионов за сутки. В 2024 году он переключился на пользователей Solana, внедряя вредоносные drain-страницы.

Однако одними атаками всё не ограничивается. С 2022 года активен кластер UNC5267, связанный с трудоустройством тысяч северокорейских IT-специалистов в международные компании — преимущественно через аутсорсинг в США, Европе и Азии. Несмотря на то, что большинство из них физически находятся в Китае, они подделывают личности и используют дипфейк-технологии, чтобы успешно проходить собеседования. По данным Palo Alto Networks, одна и та же персона может быть использована для десятков попыток трудоустройства под разными именами и внешностями.

Эти сотрудники, напрямую аффилированные с Генеральным бюро 313 Министерства вооружений КНДР, обеспечивают двойную выгоду: получают зарплату, которую затем перечисляют в Пхеньян, и открывают доступ к внутренней корпоративной инфраструктуре, который можно использовать для кибератак и вымогательства.

В 2024 году зафиксирован случай, когда один и тот же северокорейский специалист использовал 12 разных личин, пытаясь трудоустроиться в американские и европейские компании. В другой ситуации на одно и то же предприятие в течение года устроились сразу четыре подставных сотрудника из КНДР.

По оценке Google GTIG, подобные схемы значительно расширяют возможности хакеров , превращая обычные атаки в долгосрочные операции с внутренним доступом и прямыми каналами к финансовым ресурсам. И если раньше основное внимание уделялось вредоносному ПО, теперь акцент сместился на «человеческие» атаки — тихие, целенаправленные и почти незаметные.