Los hackers norcoreanos han cambiado sus métodos en una escalada de sus tácticas de guerra cibernética. Ahora emplean correos electrónicos de phishing como herramienta principal para atacar a las empresas de criptomonedas.
Un informe reciente de la firma de investigación de ciberseguridad SentinelLabs vinculó este cambio a BlueNoroff, un notorio subgrupo dentro del Grupo Lazarus.
Hackers norcoreanos cambian a phishing
BlueNoroff se conoce por extensos crímenes cibernéticos destinados a financiar las iniciativas nucleares y de armamento de Corea del Norte. La nueva campaña, denominada “Riesgo Oculto” o “Hidden Risk”, revela un giro estratégico del cortejo en redes sociales a una infiltración más directa basada en correos electrónicos.
Los hackers han intensificado sus esfuerzos en la campaña “Riesgo Oculto” utilizando correos electrónicos de phishing altamente dirigidos. Disfrazados como alertas de noticias cripto sobre precios de Bitcoin o actualizaciones sobre tendencias de finanzas descentralizadas (DeFi), estos correos atraen a los destinatarios a hacer clic en enlaces aparentemente legítimos.
Leer más: Conozca los hacks más importantes ocurridos en el ecosistema cripto durante el 2021
Una vez clickeados, estos enlaces entregan aplicaciones cargadas de malware a los dispositivos de los usuarios, dando a los atacantes acceso directo a datos corporativos sensibles:
“La campaña, que hemos denominado ‘Riesgo Oculto’, utiliza correos electrónicos que propagan noticias falsas sobre tendencias de criptomonedas para infectar a los objetivos mediante una aplicación maliciosa disfrazada de archivo PDF,” se lee en el informe.
El malware en la campaña “Riesgo Oculto” es notablemente sofisticado, logrando evadir los protocolos de seguridad integrados de Apple. Utilizando IDs de Desarrollador de Apple legítimos, evade el sistema Gatekeeper de macOS, lo que ha generado una significativa preocupación entre los expertos en ciberseguridad.
Los hackers norcoreanos tradicionalmente han dependido del cortejo elaborado en redes sociales para establecer confianza con empleados de empresas cripto y financieras. Interactuando con objetivos en plataformas como LinkedIn y Twitter, crearon la ilusión de relaciones profesionales legítimas. Aunque efectivo, este método paciente era consumidor de tiempo, lo que impulsó un cambio hacia tácticas basadas en malware más rápidas.
Las actividades de hacking de Corea del Norte se han intensificado a medida que el sector de las criptomonedas continúa creciendo. Actualmente valorado en más de 2.6 billones de dólares, el espacio cripto es un objetivo atractivo para los hackers patrocinados por el estado norcoreano.
El informe de SentinelLabs destaca cómo este entorno es particularmente susceptible a ataques cibernéticos, convirtiéndolo en un terreno de caza lucrativo para Lazarus.
Una amenaza creciente para la industria cripto
Según una reciente advertencia del FBI, los hackers norcoreanos han estado centrándose en empresas de DeFi y ETF. Utilizan ingeniería social y campañas de phishing dirigidas directamente a empleados dentro de estos sectores. Las advertencias han instado a las empresas a reforzar sus protocolos de seguridad y han aconsejado especialmente sobre la necesidad de verificar las direcciones de monederos de clientes contra direcciones conocidas de hackers.
BeInCrypto también informó cómo el Grupo Lazarus ha aprendido a eludir las sanciones occidentales. Manipularon lagunas en las regulaciones internacionales para facilitar el lavado de dinero basado en cripto. Un hito significativo en esta línea de tiempo fue la utilización del protocolo de privacidad RailGun, que proporciona transacciones anónimas en la blockchain de Ethereum.
El gobierno de Estados Unidos no ha sido pasivo en respuesta a las campañas cibernéticas escaladas de Corea del Norte. El Departamento del Tesoro sancionó al servicio de mezcla de criptomonedas Tornado Cash, citando su papel en ayudar a los hackers norcoreanos a ocultar transacciones ilícitas.
Leer más: ¿Qué es el phishing en criptomonedas y cómo evitarlo?
Tornado Cash, similar a RailGun, permite a los usuarios anonimizar los movimientos de criptomonedas, proporcionando a los hackers una herramienta poderosa para cubrir sus rastros. Las sanciones fueron parte de una represión más amplia, destacando cómo las actividades relacionadas con cripto de Corea del Norte están convirtiéndose en un punto significativo de enfoque para los gobiernos occidentales.
La sincronización de estas sanciones se alinea con las actividades intensificadas de Corea del Norte en el sector cripto, especialmente a través de Lazarus. Dada la sofisticación de la nueva campaña “Riesgo Oculto”, SentinelLabs aconseja a los usuarios de macOS y a las organizaciones, especialmente aquellas involucradas en criptomonedas, que aumenten las medidas de seguridad.
Recomiendan que las empresas realicen escaneos exhaustivos de malware, verifiquen las firmas de los desarrolladores y eviten descargar adjuntos de correos electrónicos no solicitados. Estos pasos proactivos son esenciales para protegerse contra malware cada vez más complejo que se diseña para permanecer oculto dentro de los sistemas.
Descargo de responsabilidad
Descargo de responsabilidad: en cumplimiento de las pautas de Trust Project, BeInCrypto se compromete a brindar informes imparciales y transparentes. Este artículo de noticias tiene como objetivo proporcionar información precisa y oportuna. Sin embargo, se recomienda a los lectores que verifiquen los hechos de forma independiente y consulten con un profesional antes de tomar cualquier decisión basada en este contenido.
