Северокорейские хакеры выдали себя: какие инструменты они используют для анализа крипторынка
Аналитическая платформа CryptoQuant зафиксировала уникальный случай: визит пользователя с IP-адресом из Северной Кореи. Этот инцидент проливает свет на то, какими аналитическими инструментами пользуются профессиональные хакеры из КНДР для мониторинга криптовалютного рынка. Данные были опубликованы в официальном посте сервиса на платформе X.
Детали визита: что искал северокорейский пользователь?
Согласно скриншоту из системы аналитики Amplitude, параметры визита выглядят следующим образом: заголовок страницы — «Bitcoin: MVRV Ratio», переход осуществлён с google.com, операционная система — Mac OS X, а страна — Северная Корея. Автор поста предположил, что on-chain-аналитикой теперь занимаются приближённые к высшему руководству страны. Если эта догадка верна, интерес к рыночным метрикам проявляется на самом высоком уровне.
Это предположение не случайно. В Северной Корее доступ к всемирной сети закрыт для подавляющего большинства граждан. Интернет остаётся привилегией для избранных — тех, кто связан с государственными, посольскими или военными структурами. Именно поэтому визит с северокорейского IP-адреса с высокой вероятностью указывает на государственного агента.
Судя по скриншоту, пользователь искал в Google данные по метрике MVRV Ratio и попал на профильную страницу CryptoQuant. Сам по себе единичный визит не позволяет установить личность пользователя и не подтверждает напрямую связь с государственными структурами. Определение страны по IP-адресу указывает лишь на точку выхода в сеть, а не на конкретного человека.
MVRV Ratio: зачем хакерам эта метрика?
MVRV Ratio (Market Value to Realized Value) сопоставляет рыночную капитализацию актива с реализованной и используется для оценки того, насколько биткоин переоценён или недооценён относительно усреднённой цены приобретения монет. Зачем эта метрика понадобилась северокорейцу — остаётся загадкой. Однако сам факт интереса к столь специфическому индикатору говорит о глубоком понимании рыночных механизмов.
Криптовалюта и КНДР: контекст угрозы
Внимание к этому посту усиливает контекст. КНДР регулярно фигурирует в отчётах блокчейн-аналитиков в связи с активностью криптохакеров. По распространённой среди исследователей версии, кибероперации приносят закрытой и находящейся под санкциями стране средства, которые сложно получить легальными способами. В результате цифровые активы стали важным экономическим ресурсом для Пхеньяна.
С Пхеньяном связывают ряд группировок, наиболее известная из которых — Lazarus Group. Им приписывают крупнейшие в истории криптокражи, включая вывод более $600 млн из сети Ronin (Axie Infinity) в 2022 году и взлом биржи Coincheck на сумму около $534 млн в 2018 году. Сами власти Северной Кореи причастность к подобным атакам отрицают.
Мнение эксперта: Этот инцидент — редкое окно в мир северокорейской киберразведки. Использование Mac OS X и интерес к метрике MVRV Ratio указывают на то, что хакеры не просто крадут средства, но и тщательно анализируют рынок для выбора оптимальных моментов для ликвидации активов. Это делает их ещё более опасными игроками на крипторынке.