في العملة المشفرة النظام البيئي ، العملات المعدنية لها قصة ، يتم تتبعها في سلاسل الكتل غير القابلة للتغيير التي تدعم اقتصادها. الاستثناء الوحيد ، بمعنى ما ، هو العملة المشفرة التي تم إنشاؤها حديثًا بواسطة القوة الحسابية لمالكها. لذلك يُظهر أن قراصنة كوريا الشمالية بدأوا في تبني حيلة جديدة لغسل العملات المعدنية التي يسرقونها من الضحايا في جميع أنحاء العالم: دفع عملاتهم القذرة والمسروقة إلى خدمات تسمح لهم بتعدين العملات الأبرياء الجديدة.
اليوم ، نشرت شركة الأمن السيبراني Mandiant تقريرًا عن مجموعة قرصنة كورية شمالية غزيرة الإنتاج ترعاها الدولة وتطلق عليها الآن اسم APT43 ، والتي تُعرف أحيانًا باسم Kimsuky و Thallium. المجموعة ، التي تشير أنشطتها إلى أن أعضائها يعملون في خدمة وكالة التجسس التابعة لمكتب الاستطلاع العام في كوريا الشمالية ، ركزت بشكل أساسي على التجسس ، واختراق مراكز الأبحاث ، والأكاديميين ، والصناعة الخاصة من الولايات المتحدة إلى أوروبا ، وكوريا الجنوبية ، واليابان منذ ذلك الحين في 2018 على الأقل ، مع حملات التصيد الاحتيالي المصممة لحصد بيانات الاعتماد من الضحايا وزرع البرامج الضارة على أجهزتهم.
مثل العديد من مجموعات القراصنة في كوريا الشمالية ، تحافظ APT43 أيضًا على هامش في الجرائم الإلكترونية التي تركز على الربح ، وفقًا لمانديانت ، حيث تقوم بسرقة أي عملة مشفرة يمكنها إثراء النظام الكوري الشمالي أو حتى مجرد تمويل عمليات المتسللين الخاصة. وبينما شدد المنظمون في جميع أنحاء العالم قبضتهم على خدمات التبادل وغسيل الأموال التي يستخدمها اللصوص والمتسللون لصرف العملات المعدنية الملوثة إجراميًا ، يبدو أن APT43 تحاول تجربة طريقة جديدة لسحب الأموال التي تسرقها مع منعها من الاستيلاء عليها أو تجميدها: إنها تدفع تلك العملة المشفرة المسروقة إلى “خدمات التجزئة” التي تسمح لأي شخص بتأجير الوقت على أجهزة الكمبيوتر المستخدمة لتعدين العملات المشفرة ، وحصاد العملات المعدنية المستخرجة حديثًا والتي ليس لها أي علاقة واضحة بالنشاط الإجرامي.
تسمح خدعة التعدين هذه لـ APT43 بالاستفادة من حقيقة أنه من السهل نسبيًا سرقة العملة المشفرة مع تجنب أثر الأدلة الجنائية التي تتركها في سلاسل الكتل ، مما قد يجعل من الصعب على اللصوص صرف النقود. يقول جو دوبسون ، محلل استخبارات التهديدات في مانديانت: “إنه يكسر السلسلة”. “هذا مثل سارق بنك يسرق الفضة من قبو بنك ثم يذهب إلى عامل منجم ذهب ويدفع لعمال المناجم بالفضة المسروقة. الجميع يبحث عن الفضة بينما سارق البنك يتجول حاملاً ذهبًا جديدًا تم تعدينه “.
تقول Mandiant إنها بدأت لأول مرة في رؤية علامات على تقنية الغسيل القائمة على التعدين APT43 في أغسطس من عام 2022. ومنذ ذلك الحين شهدت عشرات الآلاف من الدولارات من تدفق العملات المشفرة إلى خدمات التجزئة – خدمات مثل NiceHash و Hashing24 ، والتي تسمح لأي شخص بشراء وبيع قوة الحوسبة لحساب السلاسل الرياضية المعروفة باسم “التجزئة” الضرورية لتعدين معظم العملات المشفرة – مما يعتقد أنها محافظ التشفير APT43. تقول Mandiant إنها شهدت أيضًا تدفق مبالغ مماثلة إلى محافظ APT43 من “مجمعات” التعدين ، وهي خدمات تسمح للمعدنين بالمساهمة في موارد التجزئة الخاصة بهم لمجموعة تدفع حصة من أي عملة مشفرة تقوم المجموعة بالتعدين فيها بشكل جماعي. (رفض مانديانت تسمية خدمات التجزئة أو مجمعات التعدين التي شاركت فيها APT43).
من الناحية النظرية ، يجب أن تكون المدفوعات من تلك التجمعات نظيفة ، مع عدم وجود روابط مع قراصنة APT43 – وهذا يبدو ، بعد كل شيء ، أن يكون الهدف من عملية غسيل المجموعة. لكن في بعض حالات الإهمال التشغيلي ، تقول Mandiant إنها وجدت أن الأموال كانت مع ذلك مختلطة مع العملات المشفرة في المحافظ التي حددتها سابقًا من خلال تتبعها لسنوات طويلة لحملات القرصنة APT43.
