Las autoridades japonesas y estadounidenses han atribuido anteriormente el robo de criptomonedas por valor de 308 millones de dólares de la empresa de criptomonedas DMM Bitcoin en mayo de 2024 a ciberactores norcoreanos.
“El robo está afiliado a la actividad de amenazas de TraderTraitor, que también se rastrea como Jade Sleet, UNC4899 y Slow Piscis”, dijeron las agencias. dicho. “La actividad de TraderTraitor a menudo se caracteriza por ingeniería social dirigida a varios empleados de la misma empresa simultáneamente”.
La alerta es cortesía de la Oficina Federal de Investigaciones de EE. UU., el Centro de Delitos Cibernéticos del Departamento de Defensa y la Agencia Nacional de Policía de Japón. Vale la pena señalar que DMM Bitcoin cerrar sus operaciones a principios de este mes.
TraderTraitor se refiere a un grupo de actividad de amenazas persistentes vinculado a Corea del Norte que tiene un historial de apuntar a empresas del sector Web3, atrayendo a las víctimas para que descarguen aplicaciones de criptomonedas con malware y, en última instancia, facilitando el robo. Se sabe que está activo desde al menos 2020.
En los últimos años, el equipo de hackers ha orquestado una serie de ataques que aprovechan campañas de ingeniería social con temas laborales o llegan a objetivos potenciales con el pretexto de colaborar en un proyecto de GitHub, lo que luego conduce al despliegue de paquetes npm maliciosos.
Sin embargo, el grupo es quizás más conocido por infiltrarse y obtener acceso no autorizado a los sistemas de JumpCloud el año pasado para apuntar a un pequeño grupo de clientes intermedios.
La cadena de ataque documentada por el FBI no es diferente, ya que los actores de amenazas contactaron a un empleado de una empresa de software de billetera de criptomonedas con sede en Japón llamada Ginco en marzo de 2024, haciéndose pasar por un reclutador y enviándole una URL a un script Python malicioso alojado en GitHub. como parte de una supuesta prueba previa al empleo.
La víctima, que tenía acceso al sistema de gestión de billetera de Ginco, se vio comprometida posteriormente después de copiar el código Python en su página personal de GitHub.
El adversario pasó a la siguiente fase del ataque a mediados de mayo de 2024, cuando aprovechó la información de las cookies de sesión para hacerse pasar por el empleado comprometido y obtuvo acceso con éxito al sistema de comunicaciones no cifradas de Ginco.
“A finales de mayo de 2024, los actores probablemente utilizaron este acceso para manipular una solicitud de transacción legítima por parte de un empleado de DMM, lo que resultó en la pérdida de 4.502,9 BTC, por un valor de 308 millones de dólares en el momento del ataque”, dijeron las agencias. “Los fondos robados finalmente se trasladaron a carteras controladas por TraderTraitor”.
La divulgación se produce poco después de que Chainalysis atribuyó el hackeo de DMM Bitcoin a actores de amenazas norcoreanos, afirmando que los atacantes atacaron vulnerabilidades en la infraestructura para realizar retiros no autorizados.
“El atacante movió millones de dólares en criptomonedas desde DMM Bitcoin a varias direcciones intermediarias antes de llegar finalmente a un servicio de mezcla Bitcoin CoinJoin”, la firma de inteligencia blockchain dicho.
“Después de mezclar con éxito los fondos robados utilizando el servicio de mezcla Bitcoin CoinJoin, los atacantes movieron una parte de los fondos a través de una serie de servicios puente y, finalmente, a HuiOne Guarantee, un mercado en línea vinculado al conglomerado camboyano HuiOne Group, que anteriormente era expuesto como un actor importante en la facilitación de los delitos cibernéticos”.
El desarrollo también se produce como el Centro de inteligencia de seguridad de AhnLab (ASEC) reveló que el actor de amenazas norcoreano con nombre en código Andariel, un subgrupo dentro del Grupo Lazarus, está implementando la puerta trasera SmallTiger como parte de ataques dirigidos a soluciones de centralización de documentos y gestión de activos de Corea del Sur.
About the Author
