Kraken avslöjar nordkoreansk hacker som låtsas vara arbetssökande i djärvt infiltrationsförsök

Kraken, en känd kryptovalutabörs, har avslöjat ett sofistikerat infiltrationsförsök av en nordkoreansk hacker som låtsades vara en arbetssökande. 

Säkerhets- och rekryteringsteamen förde kandidaten genom anställningsprocessen. Målet var att studera deras strategier och samla viktiga insikter. 

Hur en nordkoreansk hacker försökte infiltrera Kraken

Kraken beskrev händelsen i ett nyligen publicerat blogginlägg den 1 maj. Hackern ansökte om en ingenjörstjänst på börsen och verkade först vara en legitim kandidat, med namnet Steven Smith. Men flera varningssignaler dök upp under anställningsprocessen. 

“Vad som började som en rutinmässig anställningsprocess för en ingenjörstjänst blev snabbt en underrättelseoperation, då våra team noggrant förde kandidaten genom vår anställningsprocess för att lära sig mer om deras taktik i varje steg av processen,” noterade Kraken .

Kandidaten använde ett annat namn under intervjun och bytte ständigt röst, vilket antydde coachning. De ansökte med en e-postadress kopplad till nordkoreanska hackare. 

Vidare avslöjade en Open-Source Intelligence-undersökning (OSINT) kandidatens inblandning i ett nätverk av falska identiteter.

“Detta innebar att vårt team hade avslöjat en hackaroperation där en individ hade skapat flera identiteter för att ansöka om tjänster inom kryptoområdet och bortom. Flera av namnen hade tidigare anställts av flera företag, då vårt team identifierade arbetsrelaterade e-postadresser kopplade till dem. En identitet i detta nätverk var också en känd utländsk agent på sanktionslistan,” stod det i bloggen.

Tekniska inkonsekvenser i deras uppsättning, som att använda fjärrstyrda, samlokaliserade Mac-datorer åtkomna via en VPN och ändrade ID:n, pekade på ett infiltrationsförsök. Denna information bekräftade att kandidaten troligen var en statssponsrad hacker.

Vid en sista intervju med kandidaten, bekräftade Krakens säkerhetschef, Nick Percoco, och några teammedlemmar företagets misstankar. Kandidatens oförmåga att verifiera sin plats eller svara på frågor om sin stad och medborgarskap avslöjade dem som en bedragare.

“Deras jobb är att börja arbeta för att stjäla immateriell egendom, stjäla pengar från dessa företag, ta hem en lön och göra det på ett omfattande sätt,” berättade Percoco för CBS om hackarna.

FinCEN föreslår förbud mot Huione Group på grund av kopplingar till Nordkorea 

Samtidigt, i en annan utveckling, har US Financial Crimes Enforcement Network (FinCEN) föreslagit att förbjuda det Kambodja-baserade Huione Group från det amerikanska finansiella systemet. Avdelningen identifierade Huione som en nyckelaktör för nordkoreanska hackargrupper, inklusive de som är inblandade i cyberstölder och “pig butchering” kryptovalutabedrägerier.

“Huione Group har etablerat sig som den föredragna marknadsplatsen för skadliga cyberaktörer som DPRK och kriminella syndikat, som har stulit miljarder USD från vanliga amerikaner,” sa finansminister Scott Bessent .

FinCEN anklagade gruppen för att ha tvättat över 4 miljarder USD i olagliga medel mellan augusti 2021 och januari 2025. Enligt avdelningen är Huiones nätverk, inklusive Huione Pay, Huione Crypto och Haowang Guarantee, en föredragen marknadsplats för kryptovalutakriminella, som erbjuder tjänster som betalningshantering och en olaglig online-marknadsplats.

“Dagens föreslagna åtgärd kommer att bryta Huione Groups tillgång till korrespondentbanker, vilket försämrar dessa gruppers förmåga att tvätta sina olagliga vinster. Finansdepartementet förblir engagerat i att störa alla försök av skadliga cyberaktörer att säkra intäkter från eller för sina kriminella planer,” tillade Bessent.

Dessa incidenter belyste ett mönster av nordkoreanska cyberattacker mot kryptovalutasektorn. År 2024 stal hackare över 659 miljoner USD från kryptoföretag. 

Enligt ett gemensamt uttalande från USA, Japan och Republiken Korea riktade nordkoreanska hackare in sig på branschen med taktiker som social ingenjörskonst och skadlig programvara (t.ex. TraderTraitor, AppleJeus). Dessutom identifierades nordkoreanska IT-arbetare som insiderhot mot privata företag.

Tidigare har BeInCrypto-rapporter belyst den ökända Lazarus Group, en nordkoreansk statssponsrad hackarkollektivs inblandning i Bybit och Upbit-stölder. Dessutom låg hackargrupper från landet också bakom Radiant Capital-hacket och DMM Bitcoin-exploiten.

Faktum är att nyligen avslöjade on-chain-utredaren ZachXBT betydande nordkoreansk inblandning i decentraliserade finansprotokoll (DeFi), där vissa av dem förlitade sig på nästan 100 % av sin månatliga volym/avgifter från Demokratiska folkrepubliken Korea (DPRK).