En un desarrollo significativo, las autoridades japonesas y estadounidenses han atribuido oficialmente el robo de $308 millones en criptomonedas de DMM Bitcoin en mayo de 2024 a actores cibernéticos norcoreanos. Este alarmante incidente destaca la amenaza continua que representan los grupos de piratería sofisticados vinculados al régimen norcoreano.
Actividad de Amenaza de TraderTraitor 🚨
El robo está asociado con un grupo de actividad de ciberamenaza conocido como TraderTraitor, que también se rastrea bajo varios alias, incluidos Jade Sleet, UNC4899 y Slow Pisces. Según la alerta emitida por el Buró Federal de Investigación de EE. UU. (FBI), el Centro de Cibercrimen del Departamento de Defensa y la Agencia Nacional de Policía de Japón, TraderTraitor se caracteriza por tácticas de ingeniería social dirigidas a múltiples empleados dentro de la misma organización simultáneamente.
DMM Bitcoin, un prominente intercambio de criptomonedas, ha cerrado sus operaciones tras el hackeo, subrayando el impacto severo de este cibercrimen.
Modus Operandi de TraderTraitor 🕵️♂️
TraderTraitor ha estado activo desde al menos 2020 y tiene un historial de atacar empresas en el sector Web3. El grupo emplea diversas tácticas para atraer a las víctimas a descargar aplicaciones de criptomonedas cargadas de malware, facilitando en última instancia el robo. Los ataques recientes han incluido campañas de ingeniería social con temática laboral, donde los hackers se hacen pasar por reclutadores o colaboradores en proyectos de GitHub, lo que lleva al despliegue de paquetes npm maliciosos.
Un incidente notable involucró la infiltración de los sistemas de JumpCloud, donde el grupo obtuvo acceso no autorizado a clientes aguas abajo.
El Ataque a DMM Bitcoin: Un Desglose Detallado 🔍
El FBI documentó una cadena de ataque específica que comenzó en marzo de 2024 cuando un actor de TraderTraitor contactó a un empleado de Ginco, una empresa de software de billetera de criptomonedas con sede en Japón. Haciéndose pasar por un reclutador, el atacante envió una URL a un script de Python malicioso alojado en GitHub, disfrazado como una prueba previa al empleo.
La víctima, que tenía acceso al sistema de gestión de billeteras de Ginco, comprometió inadvertidamente su sistema al copiar el código malicioso en su página personal de GitHub. Esta brecha permitió al adversario explotar la información de las cookies de sesión, suplantando al empleado comprometido y obteniendo acceso al sistema de comunicaciones no cifrado de Ginco.
A finales de mayo de 2024, los atacantes probablemente utilizaron este acceso para manipular una solicitud de transacción legítima de un empleado de DMM, resultando en el robo de 4,502.9 BTC, valorados en $308 millones en ese momento. Los fondos robados fueron transferidos posteriormente a billeteras controladas por TraderTraitor.
Hallazgos de Chainalysis y Movimiento de Fondos 💸
Tras el incidente, la firma de inteligencia de blockchain Chainalysis confirmó que el hackeo estaba efectivamente vinculado a actores de amenaza norcoreanos. Informaron que los atacantes explotaron vulnerabilidades en la infraestructura de DMM Bitcoin para ejecutar retiradas no autorizadas.
La criptomoneda robada fue movida a través de varias direcciones intermediarias antes de llegar a un Servicio de Mezcla CoinJoin de Bitcoin, que oscureció la pista de los fondos. Después de mezclar, una parte de los activos robados fue transferida a través de varios servicios de puente, desembarcando finalmente en HuiOne Guarantee, un mercado en línea asociado con el conglomerado camboyano HuiOne Group, conocido por facilitar cibercrímenes.
Amenazas Continuas de Actores Cibernéticos Norcoreanos 🔒
La situación se complica aún más por las actividades de otro actor de amenaza norcoreano, apodado Andariel, que es parte del grupo más grande Lazarus. Informes recientes del Centro de Inteligencia de Seguridad AhnLab (ASEC) indican que Andariel está desplegando la puerta trasera SmallTiger en ataques dirigidos a soluciones de gestión de activos y centralización de documentos en Corea del Sur.$XRP
$BTC
Conclusión
El robo de $308 millones de DMM Bitcoin sirve como un recordatorio contundente de las amenazas persistentes y en evolución que representan los actores cibernéticos norcoreanos. A medida que estos grupos continúan refinando sus tácticas y explotando vulnerabilidades en el espacio de las criptomonedas, es crucial que las organizaciones refuercen sus medidas de ciberseguridad y se mantengan vigilantes contra posibles ataques.
Este incidente destaca la importancia de protocolos de seguridad robustos y la necesidad de una concienciación continua en el paisaje en rápida evolución de la criptomoneda y las ciberamenazas.