Secondo le notizie di Deep Tide TechFlow, il 24 dicembre, riportato da CoinDesk Japan, riguardo al furto di 4502,9 BTC avvenuto a maggio presso l'exchange di criptovalute DMM Bitcoin, la polizia giapponese ha comunicato il 24 dicembre che l'incidente è stato perpetrato dal gruppo hacker Lazarus, con sede in Corea del Nord, tramite Trader Traitor. La polizia giapponese ha dichiarato che continuerà a collaborare con l'FBI, altre agenzie governative statunitensi e partner internazionali per indagare sulle attività illecite degli hacker nordcoreani, inclusi crimini informatici e furti di criptovalute.

Secondo quanto riferito, l'attacco si è svolto in più fasi. Secondo la polizia nazionale, alla fine di marzo 2024, il gruppo criminale ha inizialmente simulato reclutatori aziendali sulla rete sociale professionale LinkedIn, mettendosi in contatto con i dipendenti della Ginco, una società di sviluppo software che gestisce le transazioni di criptovalute per DMM Bitcoin.

Il gruppo ha inviato un link a un sito contenente un malware, mascherandolo come test di assunzione. Gli account dei dipendenti che hanno aperto questi link sono stati compromessi. Sfruttando questa vulnerabilità, il gruppo ha iniziato a violare i sistemi interni di Ginco a partire dalla metà di maggio utilizzando gli account compromessi. Successivamente, il gruppo ha manipolato il programma di trading di DMM Bitcoin, portando al trasferimento degli asset dei clienti a un altro indirizzo controllato dal gruppo di attacco.

La società DMM Bitcoin ha deciso di chiudere il proprio scambio dopo l'uscita di fondi. Gli asset e i conti dei clienti saranno trasferiti a SBIVC Trade, e la transizione sarà completata entro marzo 2025.