Según información de Deep Tide TechFlow, el 24 de diciembre, CoinDesk Japón informó que el 24 de diciembre, la Agencia Nacional de Policía de Japón comunicó que el robo de 4502.9 BTC que ocurrió en mayo en el intercambio de criptomonedas DMM Bitcoin fue llevado a cabo por la organización de hackers Lazarus Group, con sede en Corea del Norte. La Agencia Nacional de Policía de Japón declaró que continuará colaborando con el FBI, otras agencias gubernamentales de EE. UU. y socios internacionales para investigar las actividades ilegales de los hackers norcoreanos, incluyendo delitos cibernéticos y robos de activos criptográficos.
Se informa que el ataque se llevó a cabo en varias etapas. Según la Agencia Nacional de Policía, a finales de marzo de 2024, el grupo criminal primero se hizo pasar por reclutadores de empresas en la red social profesional LinkedIn, contactando a empleados de Ginco, una empresa de desarrollo de software que gestiona transacciones de criptomonedas para DMM Bitcoin.
El grupo se hizo pasar por pruebas de contratación y envió un enlace a un sitio web con malware. Las cuentas de los empleados que abrieron esos enlaces fueron secuestradas. Aprovechando esta vulnerabilidad, el grupo utilizó las cuentas secuestradas para infiltrarse en los sistemas internos de Ginco a partir de mediados de mayo. Luego, el grupo manipuló el programa de transacciones de DMM Bitcoin, lo que llevó a que los activos de los clientes se transfirieran a otra dirección controlada por el grupo atacante.
La empresa DMM Bitcoin ha decidido cerrar su intercambio tras la fuga de fondos. Los activos y cuentas de clientes se transferirán a SBIVC Trade, y la transición se completará en marzo de 2025.