Hackers norcoreanos están detrás del mayor robo de criptomonedas realizado hasta ahora en un solo ciberataque, que afectó a la plataforma de intercambio Bybit y en el que se sustrajeron 1,500 millones de dólares, según informaron varias firmas de seguridad del sector.
El ataque ocurrió el pasado 21 de febrero en la plataforma con sede en Dubái, que cuenta con más de 40 millones de usuarios, y afectó a activos ethereum (ETH), explicó la empresa Chainalysis, que monitorea las actividades de los piratas informáticos vinculados a Corea del Norte.
La cifra representa el mayor robo en un solo ciberataque a este tipo de plataformas, superando los 1,340 millones de dólares que los agentes del régimen norcoreano robaron en todo 2024 a través de 47 ataques, de acuerdo con los datos de la firma mencionada.
‘Los atacantes comprometieron una de las billeteras frías (cold wallet) fuera de línea de Bybit, lo que posiblemente fue un ataque a la cadena de suministro, una amenaza interna o una sofisticada infiltración de clave privada’, señaló por su parte la plataforma de detección de delitos relacionados con criptomonedas TRM Labs.
Ambas plataformas concluyeron que el ciberataque fue probablemente llevado a cabo por hackers norcoreanos, basándose en la táctica utilizada y en robos anteriores relacionados con estos agentes.
‘Este ataque resalta una estrategia común empleada por la RPDC (siglas del nombre oficial de Corea del Norte): orquestar ataques de ingeniería social y usar métodos complejos de lavado de dinero para mover los fondos robados sin ser detectados’, destacó Chainalysis en su informe sobre el incidente.
‘Los fondos comprometidos de Bybit también se han consolidado en direcciones que contienen fondos de otros ataques previos vinculados a la RPDC, lo que aporta más pruebas de que actores del Estado-nación están detrás de este incidente’, añadió.
Las siglas RPDC se refieren a la República Popular Democrática de Corea, el nombre oficial de Corea del Norte.
Tras el ataque, el fundador de Bybit, Ben Zhou, envió un mensaje tranquilizador a sus usuarios, asegurando que solo la billetera fría de ethereum se vio comprometida y que el resto de las transacciones fueron normales. Además, garantizó que la empresa era solvente y podía cubrir las pérdidas ocasionadas por el ciberataque.
Tres días después del incidente, Bybit había cerrado completamente la brecha de ETH, informó Zhou, quien aseguró que en los próximos días lanzarán ‘algo para ayudarnos a nosotros y a la industria a luchar contra los piratas informáticos y abordar los problemas de recuperación de fondos’, escribió en su perfil de la red social X.
Los analistas han advertido durante años que el hermético país asiático utiliza criptomonedas para financiar sus programas de armas, y en los últimos años ha incrementado tanto el volumen como el número de ataques para robar este tipo de activos, a pesar de los esfuerzos de países como Corea del Sur y Estados Unidos para frenar estas actividades.
Identifican al temido grupo Lazarus
La firma de investigación Arkham Intelligence, que también analizó este robo récord, ha vinculado directamente al grupo Lazarus, respaldado por el Gobierno norcoreano, con el ciberataque.
El investigador ZachXBT realizó un análisis detallado de las transacciones y encontró conexiones entre las billeteras usadas en el hackeo de Bybit y un ataque previo de Lazarus a la plataforma singapurense Phemex.
Lazarus es el grupo de ciberdelincuentes más destacado al servicio del régimen norcoreano, que está sujeto a sanciones de gobiernos como el de Estados Unidos por su papel en la obtención de ingresos para Corea del Norte, con el fin de eludir las sanciones económicas y financiar el desarrollo de armas.
El grupo saltó a la fama en noviembre de 2014, cuando se infiltró en el sistema informático de Sony Pictures, lo que causó pérdidas económicas y filtración de datos de altos ejecutivos de Hollywood, debido a la producción de la película The Interview, en la que el régimen norcoreano consideró que su líder, Kim Jong-un, era representado de manera ofensiva.
En los últimos años, Lazarus ha sido vinculado con ciberataques multimillonarios a plataformas de criptomonedas, como las surcoreanas Bithumb y Youbit, o la japonesa DMM Bitcoin.
