Северокорейские криптохакеры засветились: аналитический инструментарий раскрыт
Аналитическая платформа CryptoQuant зафиксировала уникальное событие: визит пользователя с IP-адресом, относящимся к Северной Корее (КНДР). Этот инцидент, о котором сервис сообщил в своем аккаунте на платформе X, проливает свет на то, какими именно аналитическими инструментами интересуются хакеры из этой закрытой страны.
Сам по себе единичный визит не позволяет установить личность пользователя. Однако контекст и детали этого посещения заслуживают пристального внимания. На скриншоте из системы аналитики Amplitude видны ключевые параметры: заголовок страницы «Bitcoin: MVRV Ratio», переход с google.com, операционная система Mac OS X и страна — Северная Корея.
Понимание внутренней специфики интернета в КНДР объясняет, почему за этим визитом, вероятно, стоят именно профессиональные хакеры, а не рядовой гражданин. Доступ во всемирную сеть в стране является привилегией избранных — в основном тех, кто связан с государственными, посольскими или военными структурами. Именно поэтому посещение с северокорейского IP-адреса с высокой долей вероятности указывает на государственного агента.
Детали визита: что искал северокорейский пользователь?
Судя по скриншоту, пользователь искал в Google данные по метрике MVRV Ratio (Market Value to Realized Value) и перешел на профильную страницу CryptoQuant. Эта метрика сопоставляет рыночную капитализацию актива с реализованной и используется для оценки того, насколько биткоин переоценен или недооценен относительно усредненной цены приобретения монет. Зачем именно эта метрика понадобилась северокорейскому агенту — остается загадкой, но сам факт интереса к фундаментальным ончейн-показателям говорит о многом.
Автор поста в CryptoQuant предположил, что ончейн-аналитикой теперь занимаются приближенные высшего руководства страны. Если эта догадка верна, то интерес к рыночным метрикам проявляется на самом высоком уровне.
Криптовалюта и КНДР: контекст угрозы
Внимание к этому посту усиливает общий контекст. КНДР регулярно фигурирует в отчетах блокчейн-аналитиков в связи с активностью криптохакеров. По распространенной среди исследователей версии, кибероперации приносят закрытой и находящейся под санкциями стране средства, которые сложно получить легальными способами. В результате цифровые активы стали важным экономическим ресурсом для Пхеньяна.
С Пхеньяном связывают ряд группировок, наиболее известная из которых — Lazarus Group. Им приписывают крупнейшие в истории криптокражи, включая вывод более $600 млн из сети Ronin (Axie Infinity) в 2022 году и взлом биржи Coincheck на сумму около $534 млн в 2018 году. Сами власти Северной Кореи причастность к подобным атакам отрицают.
Мой комментарий как аналитика: Этот инцидент — не просто курьез, а сигнал о растущей системности северокорейской угрозы. Тот факт, что хакеры из КНДР изучают продвинутые ончейн-метрики, такие как MVRV Ratio, говорит о том, что они переходят от простых атак к стратегическому планированию, основанному на анализе рынка. Это делает их еще более опасными и непредсказуемыми игроками для всей криптоиндустрии.