BitMEX ha confirmado haber frustrado un intento de ataque de phishing por parte del grupo Lazarus. El grupo intentó llevar a cabo un ataque hacker contra un empleado de la plataforma, pero no tuvo éxito.
Junto con la confirmación del ataque, BitMEX aprovechó para lanzar una crítica a los hackers. Según la exchange, la acción del Lazarus utilizó métodos “poco sofisticados” para intentar llevar a cabo el ataque.
El Lazarus intentó contactar al empleado de la plataforma a través de LinkedIn, haciéndose pasar por una propuesta de colaboración Web3 NFT. Según BitMEX, el objetivo del ataque era inducir a la víctima a ejecutar un proyecto de GitHub que contenía código malicioso en su ordenador.
Dado que la persona (cuya identidad se mantiene en anonimato) trabaja para BitMEX, el código habría dado acceso a la plataforma si el empleado hubiera ejecutado el programa. Este tipo de fraude se ha convertido en una firma característica de las operaciones del Lazarus, pero esta vez no funcionó.
“La interacción es casi reconocible si estás familiarizado con las tácticas del Lazarus”, escribió BitMEX.
El equipo de seguridad identificó rápidamente el payload JavaScript ofuscado y lo rastreó hasta una infraestructura previamente vinculada al grupo.
Desde que Lazarus llevó a cabo el mayor ataque de la historia contra Bybit, la comunidad ha estado más atenta al modus operandi del grupo. La propia Bybit instó a otras empresas de criptomonedas a unirse y combatir las acciones de los criminales, que están relacionados con el gobierno de Corea del Norte.
Intento de ataque “rudimentario”, según BitMEX
Una posible falla en la seguridad operativa también reveló que una de las direcciones IP vinculadas a las operaciones norcoreanas estaba ubicada en la ciudad de Jiaxing, China. Esta es otra característica del grupo: realizar ataques desde localidades distintas.
“Un patrón común en sus principales operaciones es el uso de métodos relativamente poco sofisticados, que a menudo comienzan con phishing, para infiltrarse en los sistemas de sus objetivos. Esto puede observarse en los muchos ejemplos documentados de prácticas inapropiadas provenientes de estos grupos de ‘primera línea’. Es decir, ejecutan ataques de ingeniería social básicos, en comparación con las técnicas de post-explotación más sofisticadas”, dijo BitMEX.
El grupo Lazarus es un término genérico, ya que no se trata de un grupo homogéneo. Este término es utilizado por empresas de seguridad cibernética para describir varias células de hackers que operan bajo la dirección del régimen dictatorial de Kim Jong Un.
En 2024, Chainalysis atribuyó $1,34 mil millones de criptomonedas robadas a agentes norcoreanos, representando el 61% de todos los robos de criptomonedas en ese año. Estos números contribuyeron al aumento de las reservas de Bitcoin (BTC) del país, que superaron las de El Salvador y Bután, solo con el ataque contra Bybit.
La amenaza del Lazarus sigue vigente
Snir Levi, fundador y CEO de Nominis, advierte que el creciente conocimiento sobre las tácticas del Lazarus Group no lo hace necesariamente menos peligroso. Por el contrario, el grupo sigue activo y sigue haciendo víctimas.
“El Lazarus Group utiliza diversas técnicas para robar criptomonedas. Según las denuncias que hemos recopilado de individuos, podemos suponer que intentan estafar a las personas todos los días”, alertó Levi.
Antes del ataque contra Bybit, el Lazarus fue sospechoso de haber robado casi $240 millones de una sola billetera de Bitcoin.
