EspaƱol
Home Ā» Ecosistema Ā» Grupo Lazarus de Corea del Norte crea empresas ficticias en EEUU para atacar carteras de desarrolladores

Grupo Lazarus de Corea del Norte crea empresas ficticias en EEUU para atacar carteras de desarrolladores

por

Hackers norcoreanos explotan lagunas legales para evadir sanciones y atacar activos digitales con malware.

Grupo Lazarus establece empresas ficticias en EEUU para atacar carteras de desarrolladores

Conclusiones Clave

  • Grupo Lazarus establece empresas ficticias en EEUU para atacar a desarrolladores de la industria cripto con malware.
  • La operaciĆ³n representa una evoluciĆ³n en los esfuerzos de Corea del Norte para atacar el sector cripto para financiaciĆ³n.

Compartir este artĆ­culo

El Grupo Lazarus de Corea del Norte, a través de su subunidad, creó compañías ficticias registradas en EEUU como parte de una campaña para engañar a desarrolladores de cripto y robar sus carteras, según un nuevo reporte de Reuters.

Las compañías, Blocknovas LLC y Softglide LLC, fueron registradas en Nuevo México y Nueva York usando identidades y direcciones falsas. Otra entidad, Angeloper Agency, está supuestamente conectada a la operación, pero no está registrada en EEUU.

El esquema

Las tácticas involucraron crear empresas ficticias, establecer una presencia en línea convincente y publicar ofertas de trabajo dirigidas a desarrolladores.

Los hackers usaron identidades falsas, direcciones inventadas y plataformas reales como LinkedIn y Upwork para parecer legítimos y atraer a los desarrolladores. Una vez que los solicitantes se inscribieron, fueron llevados a través de entrevistas falsas e instruidos para descargar tareas de prueba o software.

Estos archivos contenían malware que, una vez ejecutado, daba a los atacantes acceso al sistema de la víctima, permitiéndoles extraer contraseñas, llaves de carteras de cripto y otros datos sensibles.

Grupo de habla rusa utilizó tácticas casi idénticas en campaña anterior

En febrero, BleepingComputer informó que Crazy Evil, un grupo de cibercrimen de habla rusa, ya había desplegado tácticas comparables en una estafa dirigida contra buscadores de empleo de cripto y web3.

Un subgrupo de Crazy Evil creó una empresa ficticia llamada ChainSeeker.io, publicando listados fraudulentos en plataformas como LinkedIn. Los solicitantes fueron dirigidos a descargar una aplicación maliciosa, GrassCall, que instalaba malware diseñado para robar credenciales, carteras de cripto y archivos sensibles.

La operación fue bien coordinada, utilizando sitios web clonados, perfiles falsos y Telegram para distribuir el malware.

FBI confirma vínculo norcoreano

Kasey Best, director de inteligencia de amenazas en Silent Push, dijo que este es uno de los primeros casos conocidos de hackers norcoreanos estableciendo compañías legalmente registradas en EEUU para evadir el escrutinio y ganar credibilidad.

Silent Push rastreó a los hackers hasta el Grupo Lazarus y confirmó múltiples víctimas de la campaña, identificando a Blocknovas como la empresa fachada más activa que descubrieron.  

El FBI incautó el dominio de Blocknovas como parte de las acciones de aplicación de la ley contra actores cibernéticos norcoreanos que usaron publicaciones de trabajo falsas para distribuir malware.

Funcionarios del FBI dijeron que continúan «enfocándose en imponer riesgos y consecuencias, no solo a los actores del RPDC, sino a cualquiera que facilite su capacidad para llevar a cabo estos esquemas.»

Según un funcionario del FBI, las operaciones cibernéticas norcoreanas están entre las amenazas persistentes más sofisticadas de la nación.

Corea del Norte utiliza infraestructura rusa para escalar ataques

Para superar el limitado acceso a internet doméstico, el grupo de hackers de Corea del Norte utiliza infraestructura internacional, particularmente rangos de IP rusos alojados en Khasan y Khabarovsk, ciudades con vínculos directos a Corea del Norte, según un análisis profundo análisis de Trend Micro.

Utilizando VPNs, sesiones RDP y servicios de proxy como Astrill VPN y CCProxy, los operativos de Lazarus son capaces de gestionar ataques, comunicarse a través de GitHub y Slack, y acceder a plataformas como Upwork y Telegram.

Investigadores de Silent Push han identificado siete videos instructivos grabados por cuentas vinculadas a BlockNovas como parte de la operación. Los videos describen cómo configurar servidores de comando y control, robar contraseñas de navegadores, subir datos robados a Dropbox y crackear carteras de cripto con herramientas como Hashtopolis.

Del robo al espionaje patrocinado por el estado

cientos de desarrolladores han sido objetivos, con muchos exponiendo inconscientemente sus credenciales sensibles. Algunas brechas parecen haber escalado más allá del robo, sugiriendo que Lazarus pudo haber entregado el acceso a otros equipos alineados con el estado para fines de espionaje.

Funcionarios de EEUU, Corea del Sur y la ONU han confirmado a Reuters que los hackers de Corea del Norte han desplegado miles de trabajadores de TI en el extranjero para generar millones en fondos para el programa de misiles nucleares de Pyongyang.

Esta es la divulgación

Compartir este artĆ­culo

Aviso legal