Radiant Capital Dice que los Hackers Norcoreanos Están Detrás del Ataque de $50 Millones en Octubre

El protocolo DeFi Radiant Capital ha atribuido un <a href="https://www.coindesk.com/tech/2024/10/16/radiant-capital-loses-50m-to-blockchain-exploit" target="_blank">explotación de $50 millones</a> que sufrió en octubre a hackers norcoreanos.

Según un <a href="https://medium.com/@RadiantCapital/radiant-capital-incident-update-e56d8c23829e" target="_blank">reporte publicado el 6 de diciembre</a>, los atacantes comenzaron a sentar las bases para el ataque del 16 de octubre a mediados de septiembre, cuando se envió un mensaje de Telegram de lo que parecía ser un contratista antiguo de confianza a un desarrollador de Radiant Capital.

El mensaje decía que el contratista estaba buscando una nueva oportunidad profesional relacionada con la auditoría de contratos inteligentes y estaba buscando retroalimentación. Incluía un enlace a un archivo PDF comprimido, que el desarrollador abrió y compartió con otros colegas.

Se cree que el mensaje provino de un “actor de amenaza alineado con la DPRK” que estaba impersonando al contratista, según el informe. El archivo contenía un malware llamado INLETDRIFT que estableció una puerta trasera persistente en macOS mientras mostraba un PDF que parecía legítimo al usuario.

Radiant Capital dijo que los chequeos tradicionales y simulaciones no mostraron discrepancias obvias, haciendo que la amenaza fuera prácticamente invisible durante las etapas normales de revisión.

A través del acceso a las computadoras, los hackers pudieron obtener el control de varias claves privadas.

El vínculo norcoreano fue identificado por la firma de ciberseguridad Mandiant, aunque la investigación aún está incompleta. Mandiant dijo que cree que el ataque fue orquestado por UNC4736, un grupo alineado con la Oficina General de Reconocimiento del país. También es conocido como AppleJeus o Citrine Sleet.

El grupo ha sido implicado en varios otros ataques vinculados a empresas de criptomonedas. Anteriormente ha utilizado sitios web de intercambio de criptomonedas falsos para engañar a las personas y hacer que descarguen software malicioso a través de enlaces a ofertas de trabajo y billeteras falsas.

El incidente siguió a un hackeo anterior no relacionado contra Radiant Capital en enero, durante el cual perdió $4.5 millones.