Cet article de Wiz.io décrit les activités de TraderTraitor, un groupe de menace parrainé par l’État nord-coréen, opérant sous l’ombrelle du groupe Lazarus.

TraderTraitor cible spécifiquement les organisations de cryptomonnaie et de blockchain à travers des attaques sophistiquées, y compris l’ingénierie sociale avancée, les compromissions de la chaîne d’approvisionnement et les attaques basées sur le cloud. Le groupe a été lié à des vols majeurs de cryptomonnaie totalisant des milliards de dollars, tels que le vol de 308 millions de dollars de DMM Bitcoin et le piratage de 1,5 milliard de dollars de Bybit.

Le groupe utilise des chaînes d’attaque en plusieurs étapes, débutant par l’ingénierie sociale via de fausses offres d’emploi et des défis de codage. Ils déploient des malwares tels que MANUSCRYPT, RN Loader, et RN Stealer pour récolter des informations d’identification et des configurations cloud.

TraderTraitor utilise des applications Electron basées sur JavaScript avec des signatures de code valides, des communications C2 chiffrées en AES-256, et des injections de la chaîne d’approvisionnement via des paquets NPM malveillants. Leurs attaques axées sur le cloud incluent le vol de jetons de session AWS, l’énumération IAM, l’enregistrement de dispositifs MFA virtuels, et l’injection de JavaScript malveillant dans les frontends d’applications web pour rediriger les transactions de cryptomonnaie.

L’article est une analyse de menace qui vise à informer sur les capacités avancées de menace persistante attribuées au Bureau Général de Reconnaissance de la Corée du Nord.

🧠 TTPs et IOCs détectés

TTPs

[“Ingénierie sociale via de fausses offres d’emploi”, “Compromission de la chaîne d’approvisionnement”, ‘Attaques basées sur le cloud’, ‘Déploiement de malwares (MANUSCRYPT, RN Loader, RN Stealer)’, “Utilisation d’applications Electron avec signatures de code valides”, ‘Communications C2 chiffrées en AES-256’, ‘Injection de paquets NPM malveillants’, ‘Vol de jetons de session AWS’, ‘Énumération IAM’, ‘Enregistrement de dispositifs MFA virtuels’, “Injection de JavaScript malveillant dans les frontends d’applications web”]

🔗 Source originale : https://www.wiz.io/blog/north-korean-tradertraitor-crypto-heist

🖴 Archive : https://web.archive.org/web/20250728202323/https://www.wiz.io/blog/north-korean-tradertraitor-crypto-heist