La Oficina Federal de Investigación de los Estados Unidos (FBI) vinculó formalmente el récord de $ 1.5 mil millones Bybit Hack con actores de amenaza norcoreana, como el CEO de la compañía Ben Zhou declarado Una “guerra contra Lázaro”.
La agencia dijo que la República Popular Democrática de Corea (Corea del Norte) fue responsable del robo de los activos virtuales del intercambio de criptomonedas, atribuyéndolo a un clúster específico que rastrea como comerciante, que también se conoce como Jade Sleet, Slow Piscis y UNC4899.
“Los actores comerciales están procediendo rápidamente y han convertido algunos de los activos robados a Bitcoin y otros activos virtuales dispersos en miles de direcciones en múltiples blockchains”, el FBI dicho. “Se espera que estos activos se laven aún más y eventualmente se conviertan en moneda fiduciaria”.
Vale la pena señalar que el clúster comerciante fue implicado previamente por las autoridades japonesas y estadounidenses en el robo de criptomonedas por valor de $ 308 millones de la compañía de criptomonedas DMM Bitcoin en mayo de 2024.
El actor de amenaza es conocido por atacar a las empresas en el sector Web3, a menudo engañando a las víctimas para que descarguen aplicaciones de criptomonedas con malware para facilitar el robo. Alternativamente, también se ha encontrado que orquesta campañas de ingeniería social con temas de empleo que conducen al despliegue de paquetes de NPM maliciosos.
Bybit, mientras tanto, ha lanzó un programa de recompensas Para ayudar a recuperar los fondos robados, mientras llama a Exch para negarse a cooperar en la sonda y ayudar a congelar los activos.
“Los fondos robados se han transferido a destinos no rastreables o congelables, como intercambios, mezcladores o puentes, o convertidos en estables que pueden congelarse”, dijo. “Necesitamos la cooperación de todas las partes involucradas para congelar los fondos o proporcionar actualizaciones sobre su movimiento para que podamos continuar rastreando”.
La compañía con sede en Dubai también tiene compartido Las conclusiones de dos investigaciones realizadas por Sygnia y Verichains, vinculando el truco con el Grupo Lazarus.
“La investigación forense de los hosts de los tres firmantes sugiere que la causa raíz del ataque es un código malicioso que se origina en la infraestructura de Safe {Wallet}”, dijo Sygnia.
VieChains señaló que “el archivo JavaScript benigno de App.Safe.Global parece haber sido reemplazado por código malicioso el 19 de febrero de 2025 a las 15:29:25 UTC, específicamente dirigido a Ethereum MultiSig Cold Wallet of BYBIT”, y que el “Ataque se diseñó para activar durante la siguiente transacción por BIBit, que ocurrió el 21 de febrero, 2025, 2025, At 14:13 de UTC.”
Se sospecha que la cuenta de AWS S3 o CloudFront/API de SAFE. El global probablemente se filtró o comprometió, allanando así el camino para un ataque de la cadena de suministro.
En una declaración separada, la plataforma de billetera multisig Safe {Wallet} dijo que el ataque se llevó a cabo comprometiendo una de las máquinas de sus desarrolladores que afectó una cuenta operada por BYBIT. La compañía señaló además que implementó medidas de seguridad adicionales para mitigar el vector de ataque.
El ataque “se logró a través de una máquina comprometida de un desarrollador seguro {billetera} que resulta en la propuesta de una transacción maliciosa disfrazada”, “TI” dicho. “Lazarus es un grupo de piratas informáticos norcoreanos patrocinados por el estado que es bien conocido por los sofisticados ataques de ingeniería social contra las credenciales de desarrolladores, a veces combinados con hazañas de día cero”.
Actualmente no está claro cómo se violó el sistema del desarrollador, aunque un nuevo análisis de Silent Push ha descubierto que el Grupo Lazarus registró el dominio Bybit-Assessment[.]Com a las 22:21:57 el 20 de febrero de 2025, unas horas antes de que tuviera lugar el robo de criptomonedas.
Registros de Whois espectáculo que el dominio se registró utilizando la dirección de correo electrónico “Trevorgreer9312@gmail[.]com, que ha sido identificado previamente como una persona utilizada por el grupo de Lázaro en conexión con otra campaña denominada entrevista contagiosa.
“Parece que el atraco Bybit fue realizado por el Grupo de actores de amenaza de la RPDK conocido como comerciante, también conocido como Jade Sleet y Slow Piscis, mientras que la estafa de la entrevista cripto dicho.
“Las víctimas generalmente se abordan a través de LinkedIn, donde están diseñadas socialmente para participar en entrevistas falsas de trabajo. Estas entrevistas sirven como punto de entrada para la implementación de malware específica, la recolección de credenciales y un mayor compromiso de los activos financieros y corporativos”.
Se estima que los actores vinculados a Corea del Norte han robado más de $ 6 mil millones en activos criptográficos desde 2017. Los $ 1.5 mil millones robados la semana pasada superan los $ 1.34 mil millones que los actores de amenaza robaron de 47 atracones de criptomonedas en todos los 2024.
About the Author
