Son operadores asociados con el subgrupo BlueNoroff de Lazarus quienes han sido vinculados a diversos ataques cibernéticas dirigidos a pequeñas y medianas empresas en todo el mundo. Ante esto y los datos de Chainalysisis, fueron casi 400 millones de dólares en criptomonedas desviados por hackers norcoreanos este 2021. Esto sin duda representa un fenómeno bastante serio.
En este caso en concreto, la empresa rusa de ciberseguridad «Kaspersky», ha señalado que estos ataques se han estado materializando desde el año 2017. Aunado a esto, este grupo se ha estado concentrando en que los ataques sean dirigidos a nuevas empresas del sector Fintech cuyas ubicaciones han sido en China, Hong Kong, India, Polonia, Rusia, Singapur, Eslovenia, República Checa, Emiratos Árabes Unidos, Estados Unidos, Ucrania y Vietnam.
«Los atacantes han estado abusando sutilmente de la confianza de los empleados que trabajan en las empresas objetivo al enviarles una puerta trasera de Windows con funciones de vigilancia, disfrazada como un contrato u otro archivo comercial. Para eventualmente vaciar la billetera criptográfica de la víctima, el actor ha desarrollado recursos extensos y peligrosos: infraestructura compleja, exploits e implantes de malware».
Kaspersky
Al parecer, lo perturbador es que BlueNoroff de Lazarus ha sido relacionado por implementar un arsenal diverso de malware para un asalto múltiple a las empresas para así obtener fondos de manera ilícita. De igual manera usan tácticas de pishing con la finalidad de generar ingresos para sus programas de armas nucleares y misiles balísticos.
Esto sin duda está representando ganancias a lo grande. Pues volviendo a los datos de Chainanalysis, son 400 millones de dólares en activos digitales solo en 2021 y 300 millones de dólares en 2020. Simplemente una locura.
Estos ataques se dirigieron principalmente a empresas de inversión y bolsas centralizadas […] para desviar fondos de las billeteras ‘calientes’ conectadas a Internet de estas organizaciones a direcciones controladas por la RPDC. Una vez que Corea del Norte obtuvo la custodia de los fondos, comenzaron un cuidadoso proceso de lavado para encubrir y cobrar» a través de mezcladores para ocultar el rastro.
Karspersky
Con esto, los ataques cibernéticas tegistrados han sido concentrados en contra de instituciones financieras extranjeras. Esto en particular con los ataques a la red bancaria SWIFT en 2015-2016 con campañas recientes que resultaron en el despliegue de una puerta trasera llamada AppleJeus que se hace pasar por un plataforma de comercio de criptomonedas para saquear y transferir dinero a sus cuentas.