lazarus2.jpg
El mapa de ataques de Lazarus Group.
Lazarus Group
En 2024 los piratas informáticos norcoreanos intensificaron sus ataques contra la industria de las criptomonedas, saqueando US$ 1.340 millones en 47 ataques en 2024, más del doble que en 2023, según Chainalysis
Pero el 21/02/2025 lograron su mayor botín hasta el momento. El detective de criptomonedas ZachXBT identificó a Lazarus como el principal sospechoso, después de vincular el ataque a Bybit con el hackeo de US$ 85 millones a Phemex.
Además, conectó a los piratas informáticos con las infracciones en BingX y Poloniex, y todo apunta al ejército cibernético de Corea del Norte.
“Pude decir con confianza, en privado, a los pocos minutos de que el ETH saliera de la billetera de Bybit, que esto estaba relacionado con la RPDC [República Popular Democrática de Corea] simplemente por tener una huella digital y TTP [tácticas, técnicas y procedimientos] únicos en la cadena”, dijo Fantasy, líder de investigación en la firma de seguros de criptomonedas Fairside Network, a Cointelegraph.
En el ataque a Bybit, los piratas informáticos ejecutaron un elaborado ataque de phishing para vulnerar la seguridad de Bybit, engañando a la plataforma de intercambio para que autorizara la transferencia de 401.000 Ether (US$ 1.400 millones) a las billeteras bajo su control.
Según la firma de análisis forense de blockchains, Chainalysis, una vez robados los fondos, los piratas informáticos esparcieron los activos en billeteras intermediarias, donde los convirtieron en Bitcoin y Dai, utilizando intercambios descentralizados, puentes entre cadenas y servicios de intercambio sin "Conoce a tu cliente".
Quizás, eXch, una plataforma que se ha negado a congelar fondos ilícitos vinculados al exploit Bybit aunque ha negado lavar fondos para Corea del Norte.
El grupo de hackers norcoreanos serían identificados como el "Lazarus Group" y han sido acusados de llevar a cabo un robo a la bolsa de criptodivisas Kucoin.
Sospechosos
El Departamento del Tesoro de USA afirma que Lazarus está controlada por la Oficina General de Reconocimiento (RGB) de Corea del Norte, la principal agencia de inteligencia del régimen.
La Oficina Federal de Investigaciones (FBI) ha identificado públicamente a 3 presuntos piratas informáticos norcoreanos como miembros de Lazarus (también conocida como APT38).
En septiembre de 2018, el FBI acusó a Park Jin Hyok, ciudadano norcoreano y presunto miembro de Lazarus, de algunos de los ciberataques más infames de la historia.
Park, quien supuestamente trabajaba para Chosun Expo Joint Venture -empresa fachada norcoreana-, fue vinculado al hackeo de Sony Pictures en 2014; al robo del Banco de Bangladesh en 2016 (US$ 81 millones robados); al ataque de ransomware WannaCry 2.0 (de 2017, que paralizó el Servicio Nacional de Salud del Reino Unido).
En febrero de 2021, el Departamento de Justicia anunció que había añadido a Jon Chang Hyok y a Kim Il a su lista de ciberdelincuentes acusados de trabajar para Lazarus.
Jon se especializó en el desarrollo y la difusión de aplicaciones maliciosas de criptomonedas para infiltrarse en bolsas e instituciones financieras.
Kim participó en la distribución de malware, la coordinación de robos relacionados con criptomonedas y la orquestación de la fraudulenta oferta inicial de monedas de Marine Chain.
lazarus1.jpg
Park Jin Hyok, Jon Chang Hyok y Kim Il.
El Ejército oculto
Corea del Norte ha desplegado miles de trabajadores de TI (Technology Information) en Rusia, China y otros países, utilizando perfiles generados por inteligencia artificial e identidades robadas para conseguir empleos tecnológicos bien remunerados.
Una vez dentro, roban propiedad intelectual, extorsionan a los empleadores y canalizan las ganancias hacia el régimen norcoreano.
Una base de datos norcoreana filtrada y descubierta por Microsoft expuso currículums falsos, cuentas fraudulentas y registros de pago, revelando una operación sofisticada que utiliza imágenes mejoradas por inteligencia artificial, software de modificación de voz y robo de identidad para infiltrarse en empresas globales.
En agosto de 2024, ZachXBT expuso una red de 21 desarrolladores norcoreanos que ganaban US$ 500.000 al mes al integrarse a nuevas empresas de criptomonedas.
En diciembre de 2024, un tribunal federal de St. Louis (Misuri, USA) hizo públicas las acusaciones contra 14 ciudadanos norcoreanos, acusándolos de violaciones de sanciones, fraude electrónico, lavado de dinero y robo de identidad.
Ellos trabajaban para Yanbian Silverstar y Volasys Silverstar, empresas controladas por Corea del Norte que operaban en China y Rusia, intentando que las contrataran para trabajo remoto.
En 6 años, esos operadores ganaron al menos US$ 88 millones.
Hasta la fecha, la estrategia de guerra cibernética de Corea del Norte sigue siendo una de las operaciones más sofisticadas y lucrativas del mundo.
lazarus.webp
Lazarus Group, los temidos piratas del Mundo Cripto.
Cómo fue el ataque
El 26/02, Bybit confirmó que las revisiones forenses realizadas por Sygnia y Verichains revelaron que “las credenciales de un desarrollador de Safe se vieron comprometidas [...] lo que permitió al atacante obtener acceso no autorizado a la infraestructura de SafeWallet y engañar totalmente a los firmantes para que aprobaran una transacción maliciosa”.
Según el informe de Sygnia, el ataque se originó a partir de un “código JavaScript malicioso” inyectado en la infraestructura de SafeWallet en Amazon Web Services (AWS).
Los hallazgos también fueron confirmados por el desarrollador de SafeWallet, que dijo que había “agregado medidas de seguridad para eliminar el vector de ataque”.
“El equipo de Safe(Wallet) ha reconstruido por completo, reconfigurado toda la infraestructura y rotado todas las credenciales, garantizando que el vector de ataque se elimine por completo”, afirmó el comunicado.
Los expertos forenses y Safe confirmaron que la infraestructura de Bybit no se vio comprometida en el hackeo.
Pero los datos de Onchain mostraron que los piratas lavaron al menos 135.000 ETH, valorados en US$ 335 millones en las 24 horas siguientes.
Eso dejó al hacker con 363.900 ETH, con un valor de US$ 900 millones para seguir lavando, según el analista de blockchain seudónimo EmberCN.
La defensa
Según Cointelegraph, la violación de Bybit eclipsó el ataque a Ronin Network de 2022 y el robo a Poly Network de 2021.
Tras el ataque, Bybit repuso rápidamente los activos criptográficos de los usuarios y mantuvo las operaciones sin tiempos de inactividad significativos. Para cubrir los retiros de los clientes, el exchange pidió prestados 40.000 ETH a Bitget. Desde entonces, esos fondos han sido reembolsados a Bitget.
Bybit restauró sus reservas mediante una combinación de préstamos, compras de activos y depósitos de grandes tenedores.
El CEO de Bybit, Ben Zhou, también confirmó que el intercambio ha vuelto a respaldar al 100% los activos de los clientes.
Sin embargo, las violaciones de ciberseguridad de alto perfil disuaden a los inversores institucionales de realizar inversiones en criptomonedas.
Cuando un auditor o un potencial inversor institucional evalúa, por ejemplo, un ETH [fondo cotizado en bolsa] y ve un hackeo de US$ 1.000 millones, es probable que sus equipos legales y de cumplimiento congelen cualquier plan de asignar fondos a dichos activos.
---------
Más contenido en Urgente24:
Criptogate: Muy difícil que Taiano no impute a Milei
Cierran todos los bancos durante estos días de marzo: Cómo operar
Tarifas y electricidad: En Córdoba, el día será más caro que la noche
