
Se ha atribuido al Grupo Lazarus, vinculado a Corea del Norte, una nueva campaña de ciberataque denominada Operación 99 que se dirigió a desarrolladores de software que buscaban trabajo independiente en Web3 y criptomonedas para distribuir malware.
“La campaña comienza con reclutadores falsos, que posan en plataformas como LinkedIn, atrayendo a los desarrolladores con pruebas de proyectos y revisiones de códigos”, dijo Ryan Sherstobitoff, vicepresidente senior de Investigación e Inteligencia de Amenazas de SecurityScorecard, dicho en un nuevo informe publicado hoy.
“Una vez que una víctima muerde el anzuelo, se le indica que clone un repositorio GitLab malicioso, aparentemente inofensivo, pero repleto de desastres. El código clonado se conecta a servidores de comando y control (C2), incrustando malware en el entorno de la víctima”.
Se han identificado víctimas de la campaña en todo el mundo, registrándose una concentración significativa en Italia. Un número menor de víctimas afectadas se encuentra en Argentina, Brasil, Egipto, Francia, Alemania, India, Indonesia, México, Pakistán, Filipinas, el Reino Unido y Estados Unidos.
La empresa de ciberseguridad dijo que la campaña, que descubrió el 9 de enero de 2025, se basa en tácticas relacionadas con el trabajo observado anteriormente en ataques de Lazarus, como Operation Dream Job (también conocido como NukeSped), para centrarse particularmente en desarrolladores en Web3 y campos de criptomonedas.
Lo que hace que Operation 99 sea única es que atrae a los desarrolladores con proyectos de codificación como parte de un elaborado plan de reclutamiento que implica la elaboración de perfiles engañosos en LinkedIn, que luego se utilizan para dirigirlos a repositorios fraudulentos de GitLab.
El objetivo final de los ataques es implementar implantes de robo de datos que sean capaces de extraer código fuente, secretos, claves de billeteras de criptomonedas y otros datos confidenciales de los entornos de desarrollo.
Estos incluyen Main5346 y su variante Main99, que sirve como descargador de tres cargas útiles adicionales:
- Payload99/73 (y su funcionalmente similar Payload5346), que recopila datos del sistema (por ejemplo, archivos y contenido del portapapeles), finaliza los procesos del navegador web, ejecuta de forma arbitraria y establece una conexión persistente con el servidor C2.
- Brow99/73, que roba datos de los navegadores web para facilitar el robo de credenciales
- MCLIP, que monitorea y filtra la actividad del teclado y el portapapeles en tiempo real
“Al comprometer las cuentas de los desarrolladores, los atacantes no sólo extraen propiedad intelectual sino que también obtienen acceso a carteras de criptomonedas, lo que permite el robo financiero directo”, dijo la compañía. “El robo selectivo de claves privadas y secretas podría generar millones en activos digitales robados, promoviendo los objetivos financieros del Grupo Lazarus”.
La arquitectura del malware adopta un diseño modular, es flexible y capaz de funcionar en los sistemas operativos Windows, macOS y Linux. También sirve para resaltar la naturaleza siempre cambiante y adaptable de las amenazas cibernéticas a los Estados-nación.
“Para Corea del Norte, la piratería es un salvavidas que genera ingresos”, dijo Sherstobitoff. “El Grupo Lazarus ha canalizado constantemente criptomonedas robadas para alimentar las ambiciones del régimen, acumulando sumas asombrosas. Con la Web3 y las industrias de criptomonedas en auge, la Operación 99 se concentra en estos sectores de alto crecimiento”.






