El infame grupo de piratería afiliado a Corea del Norte, conocido como el Lazarus Group, ha desencadenado una escalada sin precedentes en su actividad delictiva, con el robo de casi $240 millones en criptomonedas desde junio de 2023.
Según múltiples informes de Certik , Elliptic y ZachXBT , se dice que el infame grupo de hackers es sospechoso del robo de 31 millones de dólares en activos digitales del intercambio CoinEx el 12 de septiembre de 2023.
Este atraco criptográfico se suma a una serie de ataques recientes dirigidos contra Atomic Wallet ($100 millones), CoinsPaid ($37.3 millones), Alphapo ($60 millones) y Stake.com ($41 millones).
«Algunos de los fondos sustraídos de CoinEx fueron enviados a una dirección que el grupo Lazarus utilizó previamente para lavar fondos robados a Stake.com, aunque en una cadena de bloques diferente», explicó Elliptic. «Posteriormente, los fondos se movieron a la red Ethereum, utilizando un puente previamente empleado por Lazarus, y luego se enviaron a una dirección que se sabe está controlada por el hacker de CoinEx».
La firma de análisis de blockchain señaló que estos últimos ataques indican que el colectivo adversario está cambiando su enfoque de servicios descentralizados a centralizados, que eran sus objetivos antes de 2020.
Este cambio de estrategia podría estar motivado por las mejoras en la auditoría de contratos inteligentes y los estándares de desarrollo en el espacio DeFi, así como por el mayor acceso que ofrecen los intercambios centralizados mediante ataques de ingeniería social.
Este incidente ocurre en un momento en que el líder de la nación sancionada, Kim Jong Un, visitó Rusia en lo que se cree que es un acuerdo de armas, incluso después de disparar dos misiles balísticos de corto alcance hacia sus mares orientales la semana pasada.
Corea del Norte ha utilizado los robos de criptomonedas como una forma de eludir las sanciones y financiar sus programas de armas. Otra fuente de ingresos es la contratación de trabajadores de TI independientes en el extranjero que utilizan documentos de identificación fraudulentos para ocultar su verdadera nacionalidad.
«En los últimos años, ha habido un notable aumento en la magnitud y escala de los ciberataques contra empresas relacionadas con criptomonedas por parte de Corea del Norte», advirtió TRM Labs en junio de 2023. «Esto ha coincidido con una aparente aceleración en los programas nucleares y de misiles balísticos del país».
El Lazarus Group y sus subgrupos, junto con otros grupos de piratería vinculados al país, han estado llevando a cabo una serie de operaciones maliciosas en los últimos meses. Estas incluyen ataques al suministro de software que afectaron a empresas como 3CX y JumpCloud, así como a repositorios de código abierto para JavaScript y Python.
En un análisis posterior al hackeo, CoinsPaid reveló que falsos reclutadores de empresas de criptomonedas contactaron a sus empleados a través de LinkedIn y diversas plataformas de mensajería, ofreciéndoles salarios lucrativos y engañándolos para que «instalaran el agente JumpCloud o un programa especial para completar una tarea técnica», en una campaña conocida como «Operación Trabajo Soñado».
