عوامل مرتبط با کره شمالی سال‌هاست که بی‌سروصدا در شرکت‌های کریپتو و تیم‌های دی‌فای ادغام شده‌اند و پس از مجموعه‌ای از سوءاستفاده‌های با ارزش بالا که به دستگاه سایبری این کشور مرتبط است، نگرانی‌های جدیدی را در مورد ریسک داخلی ایجاد کرده‌اند.

تیلور موناهان، محقق امنیتی و توسعه‌دهنده متامسک، گفت که این تاکتیک‌ها به روزهای اولیه امور مالی غیرمتمرکز بازمی‌گردد، به طوری که افراد مرتبط با جمهوری دموکراتیک خلق کره به چندین پروتکل پرکاربرد کمک کرده‌اند. 

او یکشنبه گفت: «بسیاری از کارمندان فناوری اطلاعات کره شمالی پروتکل‌هایی را که می‌شناسید و دوست دارید، از همان تابستان دی‌فای، ساخته‌اند.» و افزود که بیش از ۴۰ پلتفرم، از جمله چندین پروژه شناخته‌شده، در مقطعی به چنین توسعه‌دهندگانی متکی بوده‌اند.

با این حال، او خاطرنشان کرد که «هفت سال تجربه توسعه‌دهندگی بلاکچین» که در رزومه‌های آن‌ها ذکر شده، «دروغ نیست.»

به گفته تحلیلگران R3ACH، محققان مدت‌هاست که عملیات سایبری کره شمالی را به گروه لازاروس (Lazarus Group) مرتبط کرده‌اند، یک گروه تحت حمایت دولت که گمان می‌رود از سال ۲۰۱۷ تاکنون حدود ۷ میلیارد دلار دارایی دیجیتال را به سرقت برده باشد. 

این گروه با برخی از بزرگترین نقض‌های امنیتی صنعت، از جمله بهره‌برداری ۶۲۵ میلیون دلاری از Ronin Bridge در سال ۲۰۲۲، هک ۲۳۵ میلیون دلاری WazirX در سال ۲۰۲۴، و حادثه ۱.۴ میلیارد دلاری Bybit در سال ۲۰۲۵ مرتبط بوده است.

عوامل کره شمالی در پشت بهره‌برداری از Drift

بهره‌برداری ۲۸۰ میلیون دلاری هفته گذشته از پروتکل Drift، بررسی‌های جدیدی را به دنبال داشته است. این پروژه اعلام کرد که با «اطمینان متوسط تا بالا» معتقد است یک گروه وابسته به دولت کره شمالی پشت این حمله بوده است و این حادثه را به الگوی گسترده‌تری از نفوذ و مهندسی اجتماعی مرتبط می‌داند.

با این حال، جلسات حضوری که منجر به این نقض امنیتی شد، با شهروندان کره شمالی نبوده، بلکه با «واسطه‌های شخص ثالثی» بوده است که از «هویت‌های کاملاً ساختگی شامل سوابق شغلی، اعتبارنامه‌های عمومی و شبکه‌های حرفه‌ای» استفاده کرده بودند.

این پروفایل‌ها شامل سوابق شغلی، اعتبارنامه‌های عمومی و شبکه‌های حرفه‌ای فعال بودند که به آنها اجازه می‌داد قبل از وقوع بهره‌برداری، از طریق تعاملات حضوری اعتماد ایجاد کنند.

زک‌اکس‌بی‌تی (ZachXBT)، محقق مستقل بلاکچین، در یک پست اخیر در X (توئیتر سابق) هشدار داده است که همه تهدیدات مرتبط با کره شمالی در یک سطح از پیچیدگی عمل نمی‌کنند.

او گفت: «مشکل اصلی این است که وقتی پیچیدگی تهدیدات متفاوت است، همه آنها را با هم گروه‌بندی می‌کنند.»

او بسیاری از تلاش‌های نفوذ را نسبتاً ساده توصیف کرد که بیشتر به پایداری و نه پیچیدگی فنی متکی هستند. برقراری ارتباط از طریق آگهی‌های شغلی، لینکدین، ایمیل، تماس‌های زوم و فرآیندهای مصاحبه همچنان رایج است. 

او گفت: «ابتدایی و به هیچ وجه پیچیده نیستند [...] تنها ویژگی آنها این است که بی‌وقفه عمل می‌کنند.» و افزود که تیم‌هایی که در سال ۲۰۲۶ همچنان قربانی چنین تاکتیک‌هایی می‌شوند، در معرض خطر بی‌توجهی و سهل‌انگاری قرار می‌گیرند.