BlueNoroff è un gruppo di hacker con legami con il più grande gruppo di criptocrime Lazarus, conosciuto per avere avuto forti legami con la Corea del Nord in passato. Inizialmente ha preso di mira le banche e la rete di pagamento SWIFT, a partire da un attacco alla Banca centrale del Bangladesh nel 2016.
Ma ora, BlueNoroff ha "spostato la [sua] attenzione ... alle sole aziende di criptovaluta" piuttosto che alle banche tradizionali, afferma Kaspersky. Secondo il rapporto, il gruppo di hacker ha iniziato ogni attacco "stalking e studiato startup di criptovaluta di successo" attraverso prolungate campagne di phishing che coinvolgono e-mail e chat interne. BlueNoroff ha simulato diverse attività di criptovaluta esistenti tra cui il braccio commerciale di Cardano, Emurgo, e la società di NEW York VC Digital Currency Group e molte altre. Kaspersky ha osservato che tali società non sono state compromesse durante gli attacchi.
Dopo aver guadagnato la fiducia della startup presa di mira e dei membri, gli hacker avrebbero fatto installare all'azienda un aggiornamento software modificato con accesso backdoor, consentendo ulteriori intrusioni. A quel punto, gli hacker utilizzerebbero la backdoor per raccogliere le credenziali utente e monitorare le sequenze di tasti utente. Questo monitoraggio dell'attività degli utenti durerebbe "per settimane o mesi", afferma Kaspersky.
BlueNoroff sfruttava spesso CVE-2017-0199 in Microsoft Office, che consente l'esecuzione di script Visual Basic nei documenti di Word. Il gruppo sostituirebbe anche i componenti aggiuntivi del portafoglio del browser, come Metamask, con versioni compromesse. Queste strategie hanno permesso alla società di rubare fondi aziendali e di "creare una vasta infrastruttura di monitoraggio" che ha permesso al gruppo grandi transazioni.
Kaspersky non ha dichiarato quanto è stato rubato tramite questi attacchi. Tuttavia, Costin Raiu di Kaspersky ha precedentemente identificato bZx come uno degli obiettivi della campagna SnatchCrypto di BlueNoroff. Quello scambio ha visto 55 milioni di dollari rubati da esso nel novembre 2021.
Il Tesoro degli Stati Uniti ha anche suggerito che BlueNoroff, insieme a Lazarus e ad altri sottogruppi, ha rubato 571 milioni di dollari in criptovaluta da cinque scambi tra gennaio 2017 e settembre 2018. BlueNoroff ha rubato oltre 1,1 miliardi di dollari dalle istituzioni finanziarie entro il 2018, ha affermato il Tesoro nello stesso rapporto. Per inciso, la società di analisi Chainalysis ha suggerito che gli hacker nordcoreani hanno rubato 400 milioni di dollari nel 2021. Tuttavia, questo rapporto menziona solo Lazarus in generale, non BlueNoroff in particolare.
