Μια συντονισμένη εκστρατεία που στοχεύει οργανισμούς κρυπτονομισμάτων έχει τραβήξει την προσοχή της κοινότητας ασφαλείας, με στοιχεία που δείχνουν ότι οι παράγοντες απειλών συνδέονται δυνητικά με τις κρατικές επιχειρήσεις hacking της Βόρειας Κορέας.
Οι εισβολείς κινούνταν συστηματικά σε πολλαπλά επίπεδα της αλυσίδας εφοδιασμού κρυπτογράφησης – χτυπώντας πλατφόρμες στοιχηματισμού, παρόχους λογισμικού ανταλλαγής και τα ίδια τα ανταλλακτήρια – αποχωρώντας με αποκλειστικό πηγαίο κώδικα, ιδιωτικά κλειδιά και μυστικά αποθηκευμένα στο cloud.
Η επιχείρηση συνδύασε την εκμετάλλευση εφαρμογών ιστού με κλεμμένα διαπιστευτήρια cloud, καθιστώντας την μια από τις πιο υπολογισμένες εισβολές που παρατηρήθηκαν στον τομέα των κρυπτονομισμάτων τους τελευταίους μήνες.
Οι φορείς απειλών χρησιμοποίησαν δύο διαφορετικά σημεία εισόδου μεταξύ των οργανώσεων των θυμάτων. Σε μια περίπτωση, εκμεταλλεύτηκαν το CVE-2025-55182, μια γνωστή ευπάθεια στο πλαίσιο React2Shell, χρησιμοποιώντας μαζική σάρωση με τεχνικές παράκαμψης WAF για τον εντοπισμό εκτεθειμένων πλατφορμών πονταρίσματος κρυπτονομισμάτων.
Σε μια ξεχωριστή εισβολή, έφτασαν με προ-ληφθέντα έγκυρα διακριτικά πρόσβασης AWS, παρακάμπτοντας πλήρως την αρχική εκμετάλλευση και προχωρώντας κατευθείαν στην απαρίθμηση υποδομών cloud.
Και οι δύο προσεγγίσεις υποδεικνύουν ένα επίπεδο προετοιμασίας πολύ πέρα από την ευκαιριακή πειρατεία — αυτές ήταν σκόπιμες ενέργειες που στόχευαν οργανισμούς που χειρίζονται πραγματικά ψηφιακά περιουσιακά στοιχεία.
.webp.jpeg)
Οι ερευνητές του Ctrl-Alt-Intel εντόπισαν και τις δύο αλυσίδες εισβολής μέσω μιας σειράς εκτεθειμένων ανοιχτών καταλόγων που αποκαλύφθηκαν σε περίοδο δύο εβδομάδων τον Ιανουάριο του 2026.
Οι ερευνητές ανέκτησαν αρχεία από την υποδομή εργασίας του ίδιου του δράστη απειλής, συμπεριλαμβανομένων των αρχείων καταγραφής ιστορικού φλοιού, του αρχειοθετημένου πηγαίου κώδικα και των διαμορφώσεων εργαλείων.
Αυτό το σπάνιο παράθυρο στο περιβάλλον του εισβολέα παρείχε σαφή ορατότητα σε κάθε φάση της επιχείρησης, από τις πρώτες εντολές που εκτελέστηκαν μετά την αρχική πρόσβαση στη ρύθμιση εντολών και ελέγχου.
Μέσα σε μία από τις παραβιασμένες πλατφόρμες πονταρίσματος, οι εισβολείς εξήγαγαν τον πηγαίο κώδικα υποστήριξης που περιλάμβανε .env αρχεία με σκληρά κωδικοποιημένα ιδιωτικά κλειδιά για πορτοφόλια μπλοκ αλυσίδας Tron.
Τα αρχεία Blockchain έδειξαν περίπου 52,6 TRX που μεταφέρθηκαν γύρω από το ίδιο παράθυρο ενεργητικής εκμετάλλευσης, αν και οι ερευνητές παρατήρησαν ότι παραμένει ασαφές εάν οι ύποπτοι συνδεόμενοι με τη ΛΔΚ ή ένας ξεχωριστός παράγοντας απειλής έκαναν αυτή τη μεταφορά.
Ανεξάρτητα από αυτό, η παρουσία ζωντανών οικονομικών διαπιστευτηρίων ενσωματωμένων απευθείας στον κώδικα εφαρμογής παρείχε σε κάθε εισβολέα άμεση πρόσβαση σε πραγματικά κεφάλαια.
.webp.jpeg)
Η ευρύτερη αποστολή επεκτάθηκε σε εικόνες κοντέινερ Docker που προήλθαν από ανταλλακτήριο κρυπτονομισμάτων.
Αυτές οι εικόνες περιείχαν διαπιστευτήρια βάσης δεδομένων με σκληρό κώδικα, διαμορφώσεις εσωτερικών υπηρεσιών και ιδιόκτητη λογική ανταλλαγής που δημιουργήθηκε με χρήση λογισμικού από τον πάροχο blockchain ChainUp — αν και οι ερευνητές εκτίμησαν ότι οι επιτιθέμενοι παραβίασαν έναν πελάτη ChainUp και όχι την ίδια την εταιρεία.
Αυτό το μοτίβο κλοπής συστημάτων υποστήριξης και λογισμικού ανταλλαγής ταιριάζει με μια τεκμηριωμένη στρατηγική της Βόρειας Κορέας για εκ των προτέρων τοποθέτηση για κλοπή κρυπτονομισμάτων μεγάλης κλίμακας αντί για άμεση εξόρυξη κεφαλαίων.
Μέσα στο AWS Kill Chain
Η επικεντρωμένη στο cloud φάση αυτής της επίθεσης έδειξε μια δομημένη προσέγγιση στην εκμετάλλευση του AWS.
Μετά την επικύρωση των κλεμμένων διαπιστευτηρίων, οι φορείς απειλών πραγματοποίησαν μια ευρεία σάρωση απαρίθμησης σε περιπτώσεις EC2, βάσεις δεδομένων RDS, κάδους S3, συναρτήσεις Lambda, συμπλέγματα EKS και ρόλους IAM.
Φιλτράρουν τα περιεχόμενα του S3 χρησιμοποιώντας στόχευση αναζητήσεων grep .pem, .keyκαι .ppk αρχεία, μαζί με αρχεία διαμόρφωσης που περιέχουν λέξεις-κλειδιά όπως “μυστικό”, “πιστοποίηση” και “πάσο”.
Τα αρχεία κατάστασης Terraform — τα οποία αποθηκεύουν αντιστοιχίσεις υποδομής και συχνά περιέχουν κωδικούς πρόσβασης βάσης δεδομένων και κλειδιά API — λήφθηκαν και αναλύθηκαν για διαπιστευτήρια.
.webp.jpeg)
Στη συνέχεια, οι εισβολείς περιστράφηκαν στο σύμπλεγμα Kubernetes του θύματος ενημερώνοντας το αρχείο kubeconfig χρησιμοποιώντας το aws eks update-kubeconfig εντολή, έλεγχος ταυτότητας kubectl μέσω του AWS IAM.
Μόλις μπήκαν μέσα, απαρίθμησαν όλα τα εκτελούμενα pod, εξήγαγαν τα ConfigMaps και τα μυστικά Kubernetes σε απλό κείμενο και ανέσυραν πέντε εικόνες κοντέινερ Docker από το Elastic Container Registry — αποθηκεύοντας το καθένα ως αρχείο πίσσας πριν από την εξαγωγή.
Για την εντολή και τον έλεγχο, οι εισβολείς έτρεξαν το VShell στη θύρα 8082 και χρησιμοποίησαν το FRP ως διακομιστή μεσολάβησης σήραγγας στη θύρα 53 — μια θύρα DNS που συνήθως διαφεύγει από την τυπική παρακολούθηση δικτύου.
Οι συνδέσεις με το κύριο VPS τους έγιναν μέσω IPv6 αντί IPv4, μια επιλογή που παρακάμπτει τα εργαλεία ανίχνευσης που έχουν δημιουργηθεί για την παρακολούθηση της κυκλοφορίας IPv4.
.webp.jpeg)
Οι ομάδες ασφαλείας θα πρέπει να επιδιορθώσουν αμέσως το CVE-2025-55182 και να ελέγξουν όλες τις εφαρμογές Ιστού που εκτίθενται δημόσια.
Τα περιβάλλοντα AWS χρειάζονται πολιτικές IAM με τα λιγότερα προνόμια, τακτική εναλλαγή διακριτικών και ειδοποιήσεις για ασυνήθιστες κλήσεις API, όπως μαζική καταχώριση S3 ή απροσδόκητη δημόσια έκθεση RDS.
Τα αρχεία κατάστασης Terraform χρειάζονται αυστηρούς ελέγχους πρόσβασης και δεν πρέπει να περιέχουν μυστικά απλού κειμένου. Ο πηγαίος κώδικας δεν πρέπει ποτέ να περιέχει διαπιστευτήρια με σκληρό κώδικα ή ιδιωτικά κλειδιά.
Η παρακολούθηση δικτύου πρέπει να καλύπτει την κυκλοφορία IPv6 και τις εξερχόμενες συνδέσεις μέσω της θύρας 53. Τα μητρώα κοντέινερ θα πρέπει να επιβάλλουν περιορισμούς έλξης και τα δικαιώματα Kubernetes kubeconfig πρέπει να περιορίζονται σε εξουσιοδοτημένες αρχές.
