Los actores de amenazas de la República Popular Democrática de Corea (RPDC) están apuntando cada vez más al sector de las criptomonedas como un importante mecanismo de generación de ingresos desde al menos 2017 para eludir las sanciones impuestas contra el país.
«Aunque el movimiento dentro y fuera del país está fuertemente restringido y su población general está aislada del resto del mundo, la elite gobernante del régimen y su cuadro altamente capacitado de profesionales de la informática tienen acceso privilegiado a las nuevas tecnologías e información. ,» empresa de ciberseguridad Recorded Future dicho en un informe compartido con The Hacker News.
«El acceso privilegiado a recursos, tecnologías, información y, a veces, viajes internacionales para un pequeño grupo de individuos seleccionados con promesas en matemáticas e informática los equipa con las habilidades necesarias para llevar a cabo ataques cibernéticos contra la industria de las criptomonedas».
La revelación se produce cuando el Departamento del Tesoro de Estados Unidos impuso sanciones contra Sinbad, un mezclador de divisas virtual que ha sido utilizado por el Grupo Lazarus, vinculado a Corea del Norte, para lavar ganancias obtenidas ilícitamente.
Se estima que los actores de amenazas del país han robaron 3 mil millones de dólares valor de los criptoactivos encima el últimos seis años, con alrededor de 1.700 millones de dólares saqueados sólo en 2022. La mayoría de estos activos robados se utilizan para financiar directamente los programas de armas de destrucción masiva (ADM) y misiles balísticos del reino ermitaño.
«1.100 millones de dólares de ese total fueron robados en hacks de protocolos DeFi, lo que convierte a Corea del Norte en una de las fuerzas impulsoras detrás de la tendencia de hacking de DeFi que se intensificó en 2022», señaló Chainalysis a principios de febrero.
Un informe publicado por el Departamento de Seguridad Nacional (DHS) de EE. UU. como parte de su Programa de Intercambio Analítico (AEP) a principios de septiembre también destacó la explotación de los protocolos DeFi por parte del Grupo Lazarus.
«Las plataformas de intercambio DeFi permiten a los usuarios realizar la transición entre criptomonedas sin que la plataforma se haga cargo de los fondos del cliente para facilitar la transición», dice el informe. dicho. «Esto permite a los ciberactores de la RPDC determinar exactamente cuándo realizar la transición de las criptomonedas robadas de un tipo de criptomoneda a otro, lo que permite que la atribución sea más difícil de determinar o incluso rastrear».
El sector de las criptomonedas se encuentra entre los principales objetivos de los actores de ciberamenazas norcoreanos patrocinados por el Estado, como lo demuestran repetidamente las innumerables campañas llevadas a cabo en los últimos meses.
Los piratas informáticos de la RPDC son conocidos por realizar hábilmente trucos de ingeniería social para atacar a los empleados de los intercambios de criptomonedas en línea y luego atraer a sus víctimas con la promesa de trabajos lucrativos para distribuir malware que otorga acceso remoto a la red de la empresa, lo que en última instancia les permite drenar todos los activos disponibles y moverlos a varias carteras controladas por la RPDC.
Otras campañas han empleado tácticas de phishing similares para atraer a los usuarios a descargar aplicaciones de criptomonedas troyanizadas para robar sus activos, así como ataques de abrevadero (también conocidos como compromisos web estratégicos) como vector de acceso inicial, además de participar en estafas de lanzamiento aéreo y tiradores de alfombras.
Otra táctica notable adoptada por el grupo es el uso de servicios combinados para ocultar el rastro financiero y los esfuerzos de atribución de la nube. Estos servicios generalmente se ofrecen en plataformas de intercambio de criptomonedas que no emplean políticas de conocimiento de su cliente (KYC) ni regulaciones contra el lavado de dinero (AML).
«A falta de regulaciones más estrictas, requisitos de ciberseguridad e inversiones en ciberseguridad para las empresas de criptomonedas, evaluamos que en el corto plazo, es casi seguro que Corea del Norte continuará apuntando a la industria de las criptomonedas debido a su éxito pasado en su extracción como fuente de ingresos adicionales para apoyar al régimen», concluyó Recorded Future.