قضى مشغلون مرتبطون بكوريا الشمالية سنوات في الاندماج بهدوء في شركات الكريبتو وفرق التمويل اللامركزي (DeFi)، مما أثار مخاوف جديدة بشأن مخاطر الاختراق من الداخل بعد سلسلة من عمليات الاستغلال عالية القيمة المرتبطة بالجهاز السيبراني للبلاد.
قالت باحثة الأمن ومطورة MetaMask تايلور موناهان إن هذه التكتيكات تعود إلى الأيام الأولى للتمويل اللامركزي، حيث ساهم أفراد مرتبطون بجمهورية كوريا الشعبية الديمقراطية في العديد من البروتوكولات المستخدمة على نطاق واسع.
وقالت يوم الأحد: "الكثير من عمال تكنولوجيا المعلومات الكوريين الشماليين (DPRK) قاموا ببناء البروتوكولات التي تعرفونها وتحبونها، وذلك منذ صيف التمويل اللامركزي (DeFi summer)"، مضيفةً أن أكثر من 40 منصة، بما في ذلك العديد من المشاريع المعروفة، اعتمدت في مرحلة ما على هؤلاء المطورين.
ومع ذلك، أشارت إلى أن "سنوات الخبرة السبع في تطوير البلوك تشين" المدرجة في سيرهم الذاتية "ليست كذبة".
ربط المحققون منذ فترة طويلة العمليات السيبرانية لكوريا الشمالية بمجموعة لازاروس (Lazarus Group)، وهي جماعة مدعومة من الدولة يُعتقد أنها سرقت حوالي 7 مليارات دولار من الأصول الرقمية منذ عام 2017، وفقًا لمحللي R3ACH.
ارتبطت المجموعة ببعض أكبر الاختراقات في الصناعة، بما في ذلك استغلال Ronin Bridge بقيمة 625 مليون دولار في عام 2022، واختراق WazirX بقيمة 235 مليون دولار في عام 2024، وحادث Bybit بقيمة 1.4 مليار دولار في عام 2025.
استحوذ استغلال بروتوكول Drift بقيمة 280 مليون دولار الأسبوع الماضي على اهتمام متجدد. قال المشروع إنه لديه "ثقة متوسطة إلى عالية" بأن مجموعة تابعة لدولة كوريا الشمالية كانت وراء الهجوم، رابطًا الحادث بنمط أوسع من التسلل والهندسة الاجتماعية.
ومع ذلك، لم تكن الاجتماعات وجهًا لوجه التي سبقت الاختراق مع مواطنين كوريين شماليين، بل كانت مع "وسطاء من طرف ثالث" يستخدمون "هويات مصطنعة بالكامل تشمل تاريخ التوظيف، وبيانات الاعتماد العامة، والشبكات المهنية".
تضمنت هذه الملفات الشخصية تواريخ التوظيف، وبيانات الاعتماد العامة، وشبكات مهنية نشطة، مما سمح لهم ببناء الثقة من خلال التفاعلات الشخصية قبل وقوع الاستغلال.
حذر المحقق المستقل في البلوك تشين ZachXBT في منشور حديث على منصة X من أن التهديدات المرتبطة بكوريا الشمالية لا تعمل جميعها بنفس مستوى التعقيد.
وقال: "المشكلة الرئيسية هي أن الجميع يجمعهم معًا بينما تختلف درجة تعقيد التهديدات".
وصف العديد من محاولات التسلل بأنها بسيطة نسبيًا، وتعتمد على المثابرة بدلاً من التعقيد التقني. ولا يزال التواصل من خلال إعلانات الوظائف، ولينكد إن، والبريد الإلكتروني، ومكالمات زووم، وعمليات المقابلات أمرًا شائعًا.
وقال: "إنها أساسية وليست معقدة بأي حال من الأحوال [...] الشيء الوحيد فيها هو أنهم لا يلينون"، مضيفًا أن الفرق التي تستمر في الوقوع في مثل هذه التكتيكات في عام 2026 تخاطر بأن يُنظر إليها على أنها مهملة.
