El FBI y otras agencias vincularon a un grupo de actores de amenazas norcoreanos, conocido como 'Tradertraitor', con el hackeo de $308 millones de DMM en mayo de 2023. Los hackers utilizaron ingeniería social para acceder a las comunicaciones internas y perpetrar el ataque.
El FBI revela la conexión coreana en el hackeo multimillonario de DMM
La Oficina Federal de Investigaciones (FBI) en una investigación conjunta con el Centro de Cibercrimen del Departamento de Defensa y la Agencia Nacional de Policía de Japón, logró desvelar la participación de un elemento coreano en el hackeo de mayo de DMM, una exchange de criptomonedas japonesa.
El hackeo, que dejó un saldo negativo de más de 4,000 BTC en las billeteras de DMM valoradas en $308 millones en ese momento, fue obra de un grupo de hackers coreanos conocido como 'Tradertraitor', famoso por sus enfoques peculiares en estas operaciones.
Lee más: Más de $300 millones en BTC robados de la exchange japonesa DMM Bitcoin en una importante brecha de seguridad
Según el FBI, un individuo vinculado a este grupo contactó a un empleado de Ginco, un proveedor de billeteras de criptomonedas basado en Japón, ofreciendo un nuevo puesto de trabajo. El actor coreano envió a la víctima una dirección de internet para una prueba previa al empleo como parte de esta propuesta. La víctima copió esto en su cuenta personal de Github y comprometió el acceso a su sistema.
Explotando esta vulnerabilidad, los actores coreanos se hicieron pasar por el empleado comprometido utilizando este acceso y lograron manipular una transacción legítima solicitada por un empleado de DMM, redirigiendo los fondos a billeteras controladas por Tradertraitor.
Las secuelas de este robo resultaron fatales para la exchange que actualmente está siendo liquidada y se espera que sea comprada por SBI VC Trade, una exchange del Grupo SBI.
El FBI había perfilado el modus operandi de Tradertraitor antes, explicando su fuerte uso de la ingeniería social para acceder a empresas y organizaciones objetivo. En abril, una alerta conjunta explicó que el grupo estaba apuntando a instituciones vinculadas a criptomonedas, utilizando mensajes dirigidos a empleados como un vector.
La nota de aviso declaró:
Los mensajes a menudo imitan un esfuerzo de reclutamiento y ofrecen trabajos bien remunerados para atraer a los destinatarios a descargar aplicaciones de criptomonedas infectadas con malware, a las que el gobierno de EE. UU. se refiere como 'TraderTraitor.'
