Reenviar el título original 'Paradigm: Revelando la amenaza del grupo de hackers norcoreano Lazarus Group'

Una discusión sobre el Grupo Lazarus, el culpable del hackeo de Bybit, desde la perspectiva de la estructura organizativa, los métodos de ataque y las estrategias de defensa.

Una mañana de febrero, las luces se encendieron en el chat grupal de SEAL 911. Miramos con confusión mientras Bybit trasladaba más de $1 mil millones de tokens de su billetera fría a una nueva dirección y luego comenzaba rápidamente a liquidar más de $200 millones en LST. En cuestión de minutos, a través de la comunicación con el equipo de Bybit y un análisis independiente (que involucraba multisig y una implementación previamente verificada de Safe Wallet, ahora reemplazada por un contrato recién implementado y no verificado), confirmamos que esto no era un mantenimiento de rutina. Alguien acababa de lanzar uno de los mayores hackeos en la historia de las criptomonedas, y nosotros estábamos sentados en la primera fila.

Mientras parte del equipo (junto con la comunidad investigadora más amplia) comenzaba a rastrear los fondos y notificar a los intercambios asociados, otros intentaban averiguar qué exactamente había sucedido y si había fondos adicionales en riesgo. Afortunadamente, identificar al perpetrador fue fácil. En los últimos años, solo un actor de amenazas conocido ha logrado robar miles de millones de intercambios de criptomonedas: Corea del Norte, también conocida como la RPDC.

Sin embargo, más allá de eso, teníamos poco en qué basarnos. Debido a la naturaleza astuta y las habilidades excepcionales de obfuscación de los hackers norcoreanos, determinar la causa raíz de la brecha —mucho menos qué equipo específico dentro de Corea del Norte era responsable— fue extremadamente difícil. Todo lo que teníamos era inteligencia existente que sugería que los operadores de la RPDC a menudo dependen de tácticas de ingeniería social para infiltrarse en intercambios de criptomonedas. Basándonos en eso, asumimos que habían comprometido a los firmantes multisig de Bybit y desplegado malware para interferir con el proceso de firma.

Resultó que esa suposición estaba completamente equivocada. Unos días después, descubrimos que Corea del Norte había comprometido la infraestructura de Safe Wallet en sí y desplegado una sobrecarga maliciosa personalizada dirigida específicamente a Bybit. La complejidad de este ataque fue más allá de lo que cualquiera hubiera anticipado o preparado, planteando un desafío serio para muchos modelos de seguridad existentes en el mercado.

Los hackers norcoreanos representan una amenaza creciente para nuestra industria. No podemos derrotar a un enemigo que no entendemos. Aunque hay muchos incidentes documentados y artículos sobre las operaciones cibernéticas norcoreanas, es difícil unirlos todos. Espero que esta visión general pueda ayudar a proporcionar una imagen más clara de cómo opera Corea del Norte, sus estrategias y procedimientos, y en última instancia ayudarnos a implementar las medidas de mitigación adecuadas.

Estructura Organizativa

Una de las mayores confusiones que necesita ser abordada es cómo clasificar y nombrar las extensas actividades cibernéticas de Corea del Norte. Si bien es aceptable usar el término 'Grupo Lazarus' coloquialmente como una etiqueta general, una terminología más precisa es útil al discutir en detalle la amenaza cibernética sistemática planteada por Corea del Norte.

Primero, ayuda a entender el “organigrama” de Corea del Norte. En la parte superior está el partido político dominante y único, el Partido del Trabajo de Corea (PTC), que supervisa todas las instituciones estatales. Esto incluye el Ejército Popular de Corea (EPC) y el Comité Central. Dentro del EPC existe el Departamento del Estado Mayor General (ESG), donde se encuentra el Buró General de Reconocimiento (BGR). Bajo el Comité Central está el Departamento de la Industria de Armamentos (DIA).

El RGB es responsable de casi todas las operaciones cibernéticas de Corea del Norte, incluida casi toda la actividad observada en la industria de la criptomoneda. Además del famoso Grupo Lazarus, otros actores amenazantes que provienen del RGB incluyen AppleJeus, APT38, DangerousPassword y TraderTraitor. Por otro lado, el MID supervisa el programa de misiles nucleares de Corea del Norte y es la principal fuente de trabajadores de IT en el extranjero del país. La comunidad de inteligencia identifica a estos actores como Entrevista Contagiosa y Wagemole.

Grupo Lazarus

El Grupo Lazarus es una organización de piratería altamente sofisticada. Los expertos en ciberseguridad creen que algunos de los ciberataques más grandes y destructivos de la historia fueron llevados a cabo por este grupo. En 2016, Novetta identificó al Grupo Lazarus mientras analizaba el hackeo de Sony Pictures Entertainment.

En 2014, Sony estaba produciendo la comedia de acción The Interview, cuyo argumento central involucraba la humillación y eventual asesinato de Kim Jong-un. Comprensiblemente, esto no fue bien recibido por el régimen norcoreano, que tomó represalias hackeando la red de Sony, robando varios terabytes de datos, filtrando cientos de gigabytes de información confidencial o sensible, y borrando los originales. Según el entonces CEO Michael Lynton: 'Las personas que hicieron esto no solo robaron todo en la casa, sino que quemaron la casa'. Sony finalmente gastó al menos $15 millones en investigación y remedios relacionados con el ataque, y el daño real podría haber sido aún mayor.

En 2016, un grupo de hackers con sorprendentes similitudes con el Grupo Lazarus se infiltró en el Banco de Bangladesh en un intento de robar casi mil millones de dólares. A lo largo de un año, los hackers llevaron a cabo ataques de ingeniería social contra el personal del banco, ganando finalmente acceso remoto y moviéndose lateralmente dentro de la red hasta llegar al ordenador que se interfazaba con el sistema SWIFT. Desde allí, esperaron la oportunidad perfecta: Bangladesh observa su fin de semana los jueves, mientras que la Reserva Federal de Nueva York descansa los viernes. El jueves por la noche, hora local, los atacantes utilizaron su acceso a SWIFT para enviar 36 solicitudes de transferencia separadas a la Fed de Nueva York, temprano en la mañana del viernes hora local. Durante las siguientes 24 horas, la Fed reenvió las transferencias al Banco Comercial Rizal (RCBC) en Filipinas, que comenzó a procesarlas. Cuando el Banco de Bangladesh reabrió, descubrió la brecha e intentó ponerse en contacto con el RCBC para detener las transacciones, solo para descubrir que el banco había cerrado por las vacaciones del Año Nuevo Lunar.

Entonces, en 2017, el extenso ataque de ransomware WannaCry 2.0 devastó industrias en todo el mundo, con una atribución parcial al Grupo Lazarus. Se estima que causó miles de millones en pérdidas, WannaCry explotó una vulnerabilidad zero-day de Microsoft Windows originalmente desarrollada por la NSA. Encriptó máquinas locales y se propagó a través de dispositivos accesibles, infectando en última instancia cientos de miles de sistemas en todo el mundo. Afortunadamente, el investigador de seguridad Marcus Hutchins descubrió y activó un interruptor de apagado en ocho horas, limitando la escala del daño.

A lo largo de su historia, el Grupo Lazarus ha demostrado una notable capacidad técnica y efectividad operativa. Uno de sus objetivos clave es generar ingresos para el régimen norcoreano. Solo era cuestión de tiempo antes de que dirigieran su atención a la industria de la criptomoneda.

Lazarus Spin-Offs and Evolving Threats

Con el tiempo, a medida que el Grupo Lazarus se convirtió en un término generalmente utilizado por los medios para describir las actividades cibernéticas de Corea del Norte, la industria de ciberseguridad comenzó a desarrollar nombres más precisos para el Grupo Lazarus y operaciones específicas vinculadas a Corea del Norte. APT38 es un ejemplo de ello. Alrededor de 2016, se separó del Grupo Lazarus para centrarse específicamente en delitos financieros, inicialmente apuntando a bancos (como el Banco de Bangladesh) y, posteriormente, a criptomonedas. En 2018, se descubrió una nueva amenaza conocida como AppleJeus distribuyendo malware dirigido a usuarios de criptomonedas. También en 2018, cuando la OFAC anunció por primera vez sanciones contra dos compañías de fachada utilizadas por los norcoreanos, ya era evidente que los operativos norcoreanos que se hacían pasar por trabajadores de TI se habían infiltrado en la industria tecnológica.

Trabajadores de TI norcoreanos

Aunque la primera mención registrada de trabajadores de TI norcoreanos data de las sanciones de la OFAC en 2018, el informe de 2023 de la Unidad 42 proporcionó un relato más detallado e identificó a dos actores de amenazas distintos: Entrevista Contagiosa y Wagemole.

La entrevista contagiosa es conocida por hacerse pasar por reclutadores de empresas conocidas para atraer a desarrolladores a procesos de entrevistas falsas. Se instruye a los candidatos potenciales que clonen un repositorio para depuración local, presentado como parte de un desafío de codificación, pero el repositorio contiene una puerta trasera. Ejecutar el código otorga a los atacantes control sobre la máquina afectada. Esta actividad está en curso, con el incidente más reciente registrado el 11 de agosto de 2024.

Wagemole, por otro lado, no atrae a las víctimas, sino que son contratadas por empresas reales, mezclándose como ingenieros ordinarios, aunque a menudo menos productivos. Dicho esto, hay casos documentados de trabajadores de TI que utilizan su acceso con fines maliciosos. En el incidente de Munchables, un empleado vinculado a operaciones norcoreanas explotó el acceso privilegiado a contratos inteligentes y robó todos los activos.

El nivel de sofisticación entre los agentes de Wagemole varía ampliamente. Algunos utilizan plantillas de currículum genéricas y rechazan las videollamadas, mientras que otros presentan CV personalizados, participan en entrevistas de video deepfake y proporcionan identificaciones falsas como licencias de conducir y facturas de servicios públicos. En algunos casos, los agentes han permanecido dentro de las organizaciones víctimas durante hasta un año antes de aprovechar su acceso para infiltrarse en otros sistemas y/o retirar completamente el efectivo.

AppleJeus

AppleJeus se enfoca principalmente en distribuir malware y es experto en ejecutar ataques complejos a la cadena de suministro. En 2023, el ataque a la cadena de suministro de 3CX permitió a los actores de amenazas infectar potencialmente a más de 12 millones de usuarios del software de VoIP 3CX. Más tarde se descubrió que 3CX en sí mismo había sido afectado por un ataque a la cadena de suministro en uno de sus proveedores aguas arriba: Trading Technologies 13.

En la industria de la cripto, AppleJeus inicialmente propagó malware disfrazado de software legítimo, como plataformas de negociación o billeteras de criptomonedas. Sin embargo, con el tiempo, sus tácticas evolucionaron. En octubre de 2024, Radiant Capital fue comprometida por un actor de amenazas que se hizo pasar por un contratista de confianza que entregó malware a través de Telegram. Mandiant atribuyó este ataque a AppleJeus.

Contraseña peligrosa

La Contraseña Peligrosa es responsable de ataques de ingeniería social de baja complejidad dirigidos a la industria de las criptomonedas. Tan temprano como en 2019, JPCERT/CC documentó que la Contraseña Peligrosa enviaba correos electrónicos de phishing que contenían archivos adjuntos tentadores para que los usuarios los descargaran. En los últimos años, la Contraseña Peligrosa se ha hecho pasar por figuras conocidas en el espacio criptográfico para enviar correos electrónicos de phishing con líneas de asunto como "Enormes riesgos en stablecoins y activos criptográficos".

Hoy en día, Contraseña Peligrosa continúa enviando correos electrónicos de phishing, pero ha expandido sus actividades a otras plataformas. Por ejemplo, Radiant Capital informó haber recibido un mensaje de phishing a través de Telegram de alguien que se hacía pasar por un investigador de seguridad. El mensaje incluía un archivo llamado “Penpie_Hacking_Analysis_Report.zip”. Además, los usuarios han informado que han sido contactados por personas que se hacen pasar por periodistas o inversores que piden programar una llamada utilizando aplicaciones de videoconferencia poco conocidas. Al igual que Zoom, estas aplicaciones solicitan a los usuarios que descarguen un instalador de un solo uso, pero al ejecutarlo, instalan malware en el dispositivo del usuario.

TraderTraitor

TraderTraitor es el grupo de hackers norcoreano más sofisticado que tiene como objetivo la industria de las criptomonedas y ha sido vinculado a ataques a plataformas como Axie Infinity y Rain.com. TraderTraitor se dirige casi exclusivamente a exchanges y empresas con grandes reservas y no utiliza vulnerabilidades de día cero. En su lugar, emplea técnicas de spear-phishing altamente sofisticadas para comprometer a sus víctimas. En la violación de Axie Infinity, TraderTraitor se puso en contacto con un ingeniero senior a través de LinkedIn y lo convenció con éxito para que pasara por una serie de entrevistas, y finalmente envió una "oferta de trabajo" que entregó la carga útil del malware. En el ataque a WazirX, los agentes de TraderTraitor comprometieron un componente no identificado en el proceso de firma de transacciones. Luego drenaron la billetera caliente del exchange depositando y retirando fondos repetidamente, lo que llevó a los ingenieros a reequilibrar la billetera fría. Cuando los ingenieros de WazirX intentaron firmar una transacción para transferir los fondos, fueron engañados para que autorizaran una transacción que entregó el control de la billetera fría a TraderTraitor. Esto es muy similar al ataque de febrero de 2025 a Bybit, en el que TraderTraitor primero comprometió la infraestructura de Safe{Wallet} a través de ingeniería social, y luego implementó JavaScript malicioso en la interfaz de Safe Wallet utilizada específicamente por la billetera fría de Bybit. Cuando Bybit intentó reequilibrar su billetera, se activó el código malicioso, lo que provocó que los ingenieros de Bybit, sin saberlo, firmaran una transacción que transfirió el control de la billetera fría a TraderTraitor.

Permanecer seguro

Corea del Norte ha demostrado la capacidad de desplegar vulnerabilidades zero-day contra adversarios, pero hasta ahora no hay incidentes registrados o conocidos de zero-days siendo utilizados contra la industria de criptomonedas. Por lo tanto, se aplican los consejos de seguridad estándar a casi todas las amenazas planteadas por los hackers norcoreanos.

Para individuos, el sentido común y la vigilancia contra la ingeniería social son clave. Por ejemplo, si alguien afirma poseer información altamente confidencial y se ofrece a compartirla contigo, procede con precaución. O si alguien aplica presión temporal y te urge a descargar y ejecutar software, considera si están tratando de evitar que pienses racionalmente.

Para las organizaciones, aplique el principio de privilegio mínimo siempre que sea posible. Minimice el número de personas con acceso a sistemas sensibles, y asegúrese de que utilicen gestores de contraseñas y autenticación de dos factores (2FA). Mantenga separados los dispositivos personales y laborales, e instale herramientas de Gestión de Dispositivos Móviles (MDM) y de Detección y Respuesta ante Amenazas en los Dispositivos Finales (EDR) en las máquinas de trabajo para mantener tanto la seguridad antes del incidente como la visibilidad después del incidente.

Desafortunadamente, para intercambios grandes u otros objetivos de alto valor, TraderTraitor todavía puede causar más daño del esperado incluso sin usar vulnerabilidades zero-day. Por lo tanto, se deben tomar precauciones adicionales para eliminar puntos únicos de falla, de modo que un solo compromiso no resulte en una pérdida financiera completa.

Aun así, incluso si todo falla, hay esperanza. El FBI tiene un equipo dedicado a rastrear y prevenir intrusiones norcoreanas y ha estado notificando activamente a las víctimas durante años. Recientemente me alegré de ayudar a ese equipo a conectarse con posibles objetivos norcoreanos. Entonces, para prepararse para lo peor, asegúrese de tener información de contacto disponible públicamente o mantener relaciones sólidas en todo el ecosistema (por ejemplo, SEAL 911) para que las alertas críticas puedan llegarle lo más rápido posible a través del grafo social.

Renuncia:

1. Este artículo está reimpreso de [ForesightNews]. Reenvíe el Título Original 'Paradigma: Revelando la Amenaza del Grupo de Hackers Norcoreano Lazarus Group'. Todos los derechos de autor pertenecen al autor original [samczsun, Socio Investigador en Paradigm]. Si hay alguna objeción a esta reimpresión, por favor contacte alGate Learnequipo, y lo manejarán rápidamente de acuerdo con los procedimientos relevantes.

2. Descargo de responsabilidad: Las vistas y opiniones expresadas en este artículo representan solo las vistas personales del autor y no constituyen ningún consejo de inversión.

3. Las traducciones del artículo a otros idiomas son realizadas por el equipo de Gate Learn. Sin mencionarGate.ioEstá prohibido copiar, distribuir o plagiar las versiones traducidas.