Análisis de los ataques cibernéticos y métodos de blanqueo de dinero del grupo de hackers de Corea del Norte, Lazarus Group

Recientemente, un informe confidencial de la ONU reveló las últimas actividades delictivas del grupo de hackers de Corea del Norte, Lazarus Group. Esta organización blanqueó 147.5 millones de dólares en marzo de este año a través de una plataforma de criptomonedas, fondos que provienen del robo a un intercambio de criptomonedas el año pasado.

Los inspectores del Comité de Sanciones del Consejo de Seguridad de las Naciones Unidas están investigando 97 ataques cibernéticos sospechosos llevados a cabo por hackers norcoreanos contra empresas de criptomonedas entre 2017 y 2024, con un monto involucrado de hasta 3.6 mil millones de dólares. Esto incluye un ataque a un intercambio de criptomonedas a finales del año pasado, que resultó en el robo de 147.5 millones de dólares, y que luego se completó el proceso de lavado de dinero en marzo de este año.

En 2022, Estados Unidos impuso sanciones a la plataforma de criptomonedas. Al año siguiente, dos cofundadores de la plataforma fueron acusados de ayudar a lavar más de mil millones de dólares, parte de los cuales estaban relacionados con el grupo criminal cibernético de Corea del Norte, Lazarus Group.

Una encuesta de un analista de criptomonedas muestra que el Lazarus Group convirtió criptomonedas por valor de 200 millones de dólares en moneda fiduciaria entre agosto de 2020 y octubre de 2023.

El Grupo Lazarus ha sido considerado durante mucho tiempo como el principal responsable de ataques cibernéticos a gran escala y delitos financieros a nivel global. Sus objetivos abarcan múltiples sectores, incluidos sistemas bancarios, intercambios de criptomonedas, agencias gubernamentales y empresas privadas. A continuación, se analizarán en detalle varios casos típicos de ataques de esta organización, revelando sus complejas técnicas delictivas.

Ingeniería social y ataques de phishing del grupo Lazarus

Según informes de los medios europeos, Lazarus había apuntado a empresas militares y aeroespaciales en Europa y Oriente Medio como objetivos de ataque. Publicaron anuncios de trabajo falsos en plataformas sociales para engañar a los solicitantes a descargar archivos PDF que contenían código malicioso, llevando a cabo así ataques de phishing.

Este tipo de ingeniería social y ataques de phishing utilizan técnicas de manipulación psicológica para inducir a las víctimas a bajar la guardia y realizar operaciones peligrosas como hacer clic en enlaces o descargar archivos. Los hackers, mediante el malware desplegado, pueden explotar las vulnerabilidades en el sistema de las víctimas y robar información sensible.

Lazarus también llevó a cabo un ataque de seis meses contra un proveedor de pagos de criptomonedas, lo que resultó en una pérdida de 37 millones de dólares para la empresa. Durante todo el ataque, los hackers enviaron ofertas de trabajo falsas a los ingenieros, mientras lanzaban ataques técnicos como denegación de servicio distribuido y intentaban descifrar contraseñas mediante fuerza bruta.

Una serie de ataques a los intercambios de criptomonedas

Desde agosto hasta octubre de 2020, varios intercambios de criptomonedas fueron atacados. El 24 de agosto, se robó el monedero de un intercambio canadiense. El 11 de septiembre, múltiples monederos controlados por un equipo de proyecto experimentaron transferencias no autorizadas, con una pérdida de 400,000 dólares. El 6 de octubre, otro intercambio sufrió el robo de activos criptográficos por un valor de 750,000 dólares debido a una vulnerabilidad de seguridad.

Estos fondos robados se agruparon en la misma dirección a principios de 2021. Entre el 11 y el 15 de enero, los atacantes depositaron y retiraron cerca de 4500 ETH a través de un servicio de mezcla. Para 2023, estos fondos, tras múltiples transferencias y conversiones, fueron finalmente enviados a ciertas direcciones de depósito específicas.

Ataques dirigidos a personas famosas

El 14 de diciembre de 2020, el fundador de una plataforma de seguros mutualistas sufrió un ataque de Hacker, perdiendo tokens por un valor de 8.3 millones de dólares. Los atacantes luego transfirieron y cambiaron fondos a través de múltiples direcciones, parte de los fondos también se cruzaron a la red de Bitcoin, y luego se transfirieron de nuevo a Ethereum, después se mezclaron a través de una plataforma de mezcla.

Del 16 al 20 de diciembre de 2020, un atacante envió más de 2500 ETH a un servicio de mezclado. Unas horas después, otra dirección comenzó a retirar esos fondos. De mayo a julio de 2021, el atacante transfirió 11 millones de USDT a una dirección de depósito. De febrero a junio de 2023, se transfirieron más de 11 millones de USDT a otras direcciones de depósito.

Últimos casos de ataque

En agosto de 2023, ocurrieron dos nuevos incidentes de ataque. Se transfirieron 1524 ETH robados a un servicio de mezcla. El 12 de octubre de ese mismo año, estos fondos fueron retirados a una nueva dirección. En noviembre, esta dirección comenzó a transferir fondos, que finalmente se enviaron a varias direcciones de depósito específicas a través de intermediarios y cambios.

Resumen

El modus operandi del Grupo Lazarus presenta un cierto patrón: tras robar activos criptográficos, suelen confundir el origen de los fondos mediante operaciones entre cadenas y el uso de servicios de mezcla. Luego, retiran los activos mezclados a una dirección objetivo y los envían a un grupo fijo de direcciones para su retiro. Los activos robados finalmente suelen ser depositados en una dirección de depósito específica y luego se cambian por moneda fiduciaria a través de servicios de comercio extrabursátil.

Frente a los ataques continuos y masivos del Lazarus Group, la industria Web3 enfrenta graves desafíos de seguridad. Las instituciones pertinentes están monitoreando constantemente los movimientos de este hacker para ayudar a los proyectos, así como a las autoridades de regulación y de aplicación de la ley, a combatir este tipo de crímenes y recuperar los activos robados.