Инструментарий хакеров КНДР: CryptoQuant зафиксировал подозрительный визит с северокорейского IP
Аналитическая платформа CryptoQuant зафиксировала уникальное событие: визит пользователя с IP-адресом из Северной Кореи. Этот случай, опубликованный в соцсети X, проливает свет на то, какими инструментами и данными интересуются хакеры из КНДР. Речь идет не о рядовом гражданине, а, с высокой долей вероятности, о профессиональном агенте, имеющем доступ к глобальной сети — привилегии, недоступной для 99% населения страны.
Детали визита: что искал северокорейский пользователь?
Согласно скриншоту из системы аналитики Amplitude, визит был зафиксирован со следующими параметрами: страна — Северная Корея, операционная система — Mac OS X, переход с google.com. Целевой страницей оказался график метрики Bitcoin: MVRV Ratio (Market Value to Realized Value). Эта метрика сравнивает рыночную капитализацию биткоина с реализованной капитализацией и используется для оценки переоцененности или недооцененности актива относительно средней цены покупки монет.
Сам по себе единичный визит не позволяет установить личность пользователя или напрямую подтвердить связь с государственными структурами. Однако контекст имеет решающее значение. В Северной Корее интернет — это прерогатива избранных: государственных, военных и дипломатических структур. Именно поэтому визит с IP-адреса КНДР с высокой вероятностью указывает на государственного агента, а не на случайного гражданина.
Криптовалюта и КНДР: контекст угрозы
Внимание к этому случаю усиливается на фоне регулярных отчетов блокчейн-аналитиков, связывающих КНДР с активностью криптохакеров. По широко распространенной среди исследователей версии, кибероперации приносят закрытой и находящейся под санкциями стране средства, которые сложно получить легальными способами. Цифровые активы стали важным экономическим ресурсом для Пхеньяна.
Наиболее известная группировка, связываемая с КНДР, — Lazarus Group. Им приписывают крупнейшие в истории криптокражи, включая вывод более $600 млн из сети Ronin (Axie Infinity) в 2022 году и взлом биржи Coincheck на сумму около $534 млн в 2018 году. Сами власти Северной Кореи причастность к подобным атакам отрицают.
Комментарий аналитика: Интерес северокорейских агентов к метрике MVRV Ratio — это не просто любопытство. Это сигнал о том, что Пхеньян, вероятно, ищет точки входа для масштабных манипуляций на рынке или оценивает оптимальные моменты для ликвидации накопленных активов. Рынок должен быть готов к тому, что государственные хакеры все активнее используют профессиональные аналитические инструменты для планирования своих операций.