BitMEX Bloquea Intento de Phishing de Lazarus: Califica Tácticas Como 'Poco Sofisticadas'

BitMEX dijo que ha frustrado un intento de ataque de phishing por parte del Grupo Lazarus, describiendo el intento como el uso de métodos de phishing "poco sofisticados" por parte del notorio grupo vinculado a Corea del Norte.

En una publicación de blog publicada el 30 de mayo, el exchange de criptomonedas detalló cómo un empleado fue contactado a través de LinkedIn bajo la apariencia de una colaboración Web3 NFT.

El atacante trató de atraer al objetivo para que ejecutara un proyecto de GitHub que contenía código malicioso en su computadora, una táctica que la empresa dice se ha convertido en una característica distintiva de las operaciones de Lazarus.

"La interacción es bastante conocida si estás familiarizado con las tácticas de Lazarus", escribió BitMEX, agregando que el equipo de seguridad identificó rápidamente la carga útil de JavaScript ofuscada y la rastreó hasta la infraestructura previamente vinculada al grupo.

Una probable falla en la seguridad operacional también reveló que una de las direcciones IP vinculadas a las operaciones norcoreanas estaba ubicada en la ciudad de Jiaxing, China, aproximadamente a 100 km de Shanghái.

"Un patrón común en sus operaciones principales es el uso de métodos relativamente poco sofisticados, a menudo comenzando con phishing, para ganar un punto de apoyo en los sistemas de su objetivo", escribió BitMEX.

Al examinar otros ataques, se notó que los esfuerzos de hackeo de Corea del Norte probablemente estaban divididos en múltiples subgrupos con diferentes niveles de sofisticación técnica.

"Esto se puede observar a través de los muchos ejemplos documentados de malas prácticas provenientes de estos grupos de 'primera línea' que ejecutan ataques de ingeniería social cuando se comparan con las técnicas post-explotación más sofisticadas aplicadas en algunos de estos hackeos conocidos", dijo.

El Grupo Lazarus es un término general utilizado por las empresas de ciberseguridad y las agencias de inteligencia occidentales para describir varios equipos de hackers que operan bajo la dirección del régimen norcoreano.

En 2024, Chainalysis atribuyó $1.340 millones en criptomonedas robadas a actores norcoreanos, representando el 61% de todos los robos de ese año a través de 47 incidentes, un récord histórico y un aumento del 102% sobre el total de 2023 de $660 millones robados.

Sigue siendo una amenaza

Pero como advierte el fundador y CEO de Nominis, Snir Levi, el creciente conocimiento de las tácticas del Grupo Lazarus no necesariamente los hace menos amenazantes.

"El Grupo Lazarus utiliza múltiples técnicas para robar criptomonedas", le dijo a Decrypt. "Basándonos en las quejas que recopilamos de individuos, podemos asumir que están tratando de defraudar a las personas diariamente".

El tamaño de algunos de sus botines ha sido impactante.

En febrero, los hackers drenaron más de $1.400 millones de Bybit, posible gracias a que el grupo engañó a un empleado de Safe Wallet para que ejecutara código malicioso en su computadora.

"Incluso el hackeo de Bybit comenzó con ingeniería social", dijo Levi.

Otras campañas incluyen Radiant Capital, donde un contratista fue comprometido a través de un archivo PDF malicioso que instaló una puerta trasera.

Los métodos de ataque van desde phishing básico y ofertas de trabajo falsas hasta tácticas avanzadas post-acceso como manipulación de contratos inteligentes y manipulación de infraestructura en la nube.

La divulgación de BitMEX se suma a un creciente cuerpo de evidencia que documenta las estrategias multicapa del Grupo Lazarus. Sigue a otro informe en mayo de Kraken, en el que la empresa describió un intento de un norcoreano de ser contratado.

Funcionarios estadounidenses e internacionales han dicho que Corea del Norte utiliza el robo de criptomonedas para financiar sus programas de armas, con algunos informes estimando que puede suministrar hasta la mitad del presupuesto de desarrollo de misiles del régimen.

Editado por Sebastian Sinclair