Investigadores surcoreanos atribuyen al grupo de hackers norcoreano Lazarus el reciente ataque cibernético que resultó en el robo de cerca de 45 mil millones de won (USD 36 millones) en criptomonedas de UpBit, la mayor plataforma de intercambio del país. Según un reportaje de la agencia coreana Yonhap News, fuentes gubernamentales y de la industria confirmaron que la investigación avanza en esta dirección. Está en los planes de los investigadores realizar una inspección presencial en las instalaciones de la empresa.
La operadora de UpBit, Dunamu, había anunciado el jueves (27) el ataque hacker a UpBit después de identificar una transferencia no autorizada de 44,5 mil millones de won en activos vinculados a Solana. La empresa aseguró que cubrirá íntegramente las pérdidas con recursos propios, buscando tranquilizar a sus usuarios.
La sospecha sobre Lazarus, según detalló Yonhap News, no es infundada. El mismo grupo es señalado como responsable del robo de Ethereum equivalente a 58 mil millones de won en UpBit en 2019. De acuerdo con las autoridades consultadas por la agencia, los métodos utilizados en el ataque más reciente son extremadamente similares a los empleados en aquel episodio.
Método de ataque y motivación
A diferencia de un ataque directo a los servidores, las evidencias reportadas por Yonhap sugieren que los hackers podrían haber comprometido cuentas de administradores o haberse hecho pasar por ellos para autorizar las transacciones.
“En lugar de atacar el servidor, es posible que los hackers hayan comprometido las cuentas de los administradores o se hayan hecho pasar por ellos para realizar la transferencia”, detalló un funcionario del gobierno a la agencia.
Especialistas relacionan el ataque con el contexto geopolítico, señalando que Pyongyang ha intensificado sus esfuerzos para obtener fondos en el extranjero. Lazarus actúa como un brazo financiero crucial para el régimen, que enfrenta severas sanciones internacionales y escasez de divisas.
Estrategia para lavar el dinero
La complejidad del grupo fue destacada por un oficial de seguridad en declaraciones a Yonhap News, quien explicó la táctica posterior al robo.
“Esta es la táctica de Lazarus: transferir criptomonedas a billeteras en otras plataformas y tratar de lavar el dinero”.
Ese proceso, que incluye múltiples transferencias y conversiones, busca dificultar al máximo el rastreo y la recuperación de los fondos.
Además, el momento del ataque también llama la atención. Ocurrió un día después de que Naver Corp., la mayor operadora de buscadores de Corea del Sur, anunciara la adquisición de Dunamu como subsidiaria integral de Naver Financial. La coincidencia en el timing podría no ser accidental.
“Los hackers tienen una fuerte tendencia a la autoexposición”, comentó otro funcionario del área de seguridad a Yonhap, sugiriendo que el grupo puede buscar no solo beneficios económicos, sino también notoriedad e impacto mediático, eligiendo momentos de alta visibilidad para sus acciones.
Sin embargo, la investigación, con base en la información obtenida por Yonhap News, continúa, con las autoridades enfocadas en rastrear los activos digitales y entender en detalle la brecha de seguridad explotada por el grupo Lazarus.