En Resumen
- Hackers norcoreanos roban $1.400 millones de Bybit, el mayor hackeo cripto hasta la fecha.
- El Grupo Lazarus y sus subgrupos operan bajo la inteligencia militar de Corea del Norte.
- Expertos advierten que la industria cripto debe reforzar su seguridad ante amenazas crecientes.
En febrero, hackers norcoreanos hicieron titulares con lo que ahora se considera el mayor hackeo individual en la historia de las criptomonedas.
El Grupo Lazarus robó al menos $1.400 millones de Bybit y posteriormente canalizó esos fondos a mezcladores de criptomonedas.
"Alguien había llevado a cabo el mayor hackeo en la historia [de las criptomonedas], y nosotros teníamos asientos de primera fila", recordó Samczsun, Socio de Investigación en Paradigm, en una publicación de blog.
El investigador dijo que presenció el robo en tiempo real y colaboró con Bybit para confirmar el acceso no autorizado.
Samczsun estaba trabajando con SEAL 911, una unidad de respuesta de emergencia afiliada a la Security Alliance, una organización sin fines de lucro dedicada a asegurar sistemas descentralizados.
Pero estos ataques no se tratan solo del Grupo Lazarus. Hay más en las ofensivas cibernéticas de Corea del Norte de lo que se pensaba anteriormente.
Existe un concepto erróneo sobre cómo "clasificar y nombrar" las operaciones del grupo.
Si bien el término "Grupo Lazarus" es "coloquialmente aceptable", discutir cómo la RPDC (República Popular Democrática de Corea) ejecuta sus operaciones cibernéticas ofensivas requiere más rigor, afirmó Samczsun.
Grupo Lazarus se ha convertido en el término preferido por los medios al describir la actividad cibernética de la RPDC. Los investigadores de ciberseguridad "crearon designaciones más precisas" para mostrar cuáles están trabajando en actividades específicas, agregaron.
Una oficina de hackeo
El ecosistema de hackeo de la RPDC opera bajo la Oficina General de Reconocimiento (RGB), que alberga varios grupos distintos: AppleJeus, APT38, DangerousPassword y TraderTraitor.
Estos grupos operan con metodologías de orientación específicas y capacidades técnicas.
TraderTraitor, identificado como el actor más sofisticado de la RPDC dirigido a la industria de las criptomonedas, se enfoca en exchanges de criptomonedas con grandes reservas y emplea técnicas avanzadas, comprometiendo con éxito Axie Infinity a través de ofertas de trabajo falsas y manipulando WazirX.
AppleJeus se especializa en ataques complejos a la cadena de suministro, incluido el hackeo de 3CX en 2023 que potencialmente afectó a 12 millones de usuarios.
DangerousPassword, mientras tanto, realiza ingeniería social de menor nivel a través de correos electrónicos de phishing y mensajes maliciosos en plataformas como Telegram.
Otro subgrupo, APT38, surgió de Lazarus en 2016 y se centró en delitos financieros. Primero se dirigió a bancos tradicionales antes de cambiar su atención a plataformas de criptomonedas.
En 2018, la Comisión de Bolsa y Valores de Estados Unidos (SEC) mencionó por primera vez a los "trabajadores de TI norcoreanos", que en 2023 fueron identificados por investigadores como "Contagious Interview" y "Wagemole", operando a través de esquemas donde los actores de amenazas se hacen pasar por reclutadores o intentan ser contratados por empresas objetivo.
Todavía hay esperanza
Aunque la RPDC ha demostrado su capacidad para desplegar ataques de día cero, no ha habido "incidentes registrados o conocidos" de despliegue directo contra la industria de las criptomonedas, dijo Samczsun.
El investigador instó a las empresas de criptomonedas a implementar prácticas básicas de seguridad como acceso de privilegio mínimo, autenticación de dos factores y segregación de dispositivos. Si las medidas preventivas fallan, conectarse con grupos de seguridad como SEAL 911 y la unidad RPDC del FBI también sería útil.
"Los hackers de la RPDC son una amenaza cada vez mayor contra nuestra industria, y no podemos derrotar a un enemigo que no conocemos o entendemos", escribió Samczsun.
Editado por Sebastian Sinclair
