Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Il gruppo nordcoreano UNC4899 ha condotto un attacco sofisticato all’infrastruttura cloud di un’azienda di criptovalute, rubando milioni di dollari in asset digitali. L’attacco è iniziato con un file ordinario, ottenuto da uno sviluppatore con il pretesto di collaborare a un progetto open source.
Google ha descritto l’incidente nel suo rapporto Cloud Threat Horizons per la prima metà del 2026. Gli esperti attribuiscono l’operazione al gruppo UNC4899, noto anche come Jade Sleet, PUKCHONG, Slow Pisces e TraderTraitor.
L’attacco è iniziato con l’ingegneria sociale . Gli aggressori hanno convinto lo sviluppatore a scaricare un archivio, apparentemente per partecipare a un progetto di sviluppo collaborativo. Il file è stato prima aperto su un dispositivo personale e poi trasferito su un computer aziendale tramite AirDrop.
Lo sviluppatore ha aperto l’archivio in un ambiente di sviluppo integrato basato sull’intelligenza artificiale. Conteneva uno script Python dannoso. Una volta eseguito, il codice ha scaricato ed eseguito un file binario mascherato da utility da riga di comando di Kubernetes.
Il programma si è connesso al dominio degli aggressori, diventando un canale di accesso segreto alla workstation. Utilizzando sessioni attive e credenziali disponibili, appSuccessivamente, è iniziata la fase di ricognizione: gli aggressori hanno studiato i servizi e i progetti disponibili.
Il gruppo ha quindi individuato un server di accesso temporaneo e ha modificato le impostazioni della policy di autenticazione a più fattori per connettersi al sistema. Una volta effettuato l’accesso, gli aggressori hanno continuato la ricognizione e hanno ottenuto l’accesso ai singoli componenti dell’ambiente Kubernetes.
Per ottenere un punto d’appoggio nell’infrastruttura, UNC4899 ha utilizzato la cosiddetta tattica del “vivere fuori dal cloud”. Gli aggressori hanno modificato la configurazione di distribuzione di Kubernetes in modo che un comando bash venisse eseguito automaticamente alla creazione di nuovi container. Questo comando scaricava un programma di accesso remoto nascosto.
Allo stesso tempo, gli aggressori hanno compromesso le risorse Kubernetes associate alla piattaforma di integrazione e distribuzione continua. Hanno aggiunto comandi alla configurazione che registravano i token di servizio dell’account nei log di sistema.
Uno dei token apparteneva a un account con privilegi elevati. Utilizzandolo, il gruppo ha aumentato i privilegi e ha iniziato a esplorare l’infrastruttura.
Il token consentiva l’accesso a un contenitore sensibile in esecuzione in modalità privilegiata. Utilizzandolo, gli aggressori hanno violato il contenitore e stabilito un altro canale di accesso nascosto per la presenza persistente nel sistema.
Dopo un altro giro di ricognizione, l’attenzione degli aggressori si è spostata sul carico di lavoro associato alla gestione degli account client. La configurazione del contenitore memorizzava variabili di ambiente con credenziali di database statiche. Non c’era alcuna protezione.
Utilizzando i dati ottenuti, il gruppo si è connesso al database di produzione tramite un proxy Cloud SQL ed ha eseguito comandi SQL. Gli aggressori hanno modificato le impostazioni di diversi account utente, reimpostando le password e aggiornando le chiavi di autenticazione a più fattori. Dopo aver preso il controllo di questi account, sono riusciti a sottrarre asset digitali per un valore di diversi milioni di dollari.
Il rapporto di Google afferma che l’incidente evidenzia i pericoli del trasferimento di file tra dispositivi personali e aziendali, nonché i rischi di una gestione impropria dei dati sensibili nei sistemi cloud . Le aziende raccomandano di implementare una rigorosa verifica dell’identità, limitare i trasferimenti di dati tra dispositivi e isolare rigorosamente gli ambienti di lavoro cloud. Raccomandano inoltre di disabilitare o limitare la condivisione di file tramite AirDrop e Bluetooth sui dispositivi aziendali e di monitorare attentamente le attività insolite all’interno dei container.
