En un contexto donde la ciberseguridad se vuelve cada vez más crucial, una nueva amenaza ha emergido específicamente dirigida a los desarrolladores de criptomonedas. Hackers norcoreanos, asociados con el notorio grupo Lazarus, han desarrollado una campaña compleja destinada a infiltrarse en ecosistemas tecnológicos mediante la creación de empresas fachada en los Estados Unidos. Esta estrategia ha permitido que los ciberdelincuentes monten un engaño que combina perfiles falsos, entrevistas laborales fraudulentas y malware avanzado para comprometer la seguridad de los innovadores en el campo criptográfico. Esta operación ha sido revelada gracias al trabajo de la firma de seguridad Silent Push, que demostró cómo los actores maliciosos construyeron entidades legales falsas denominadas Softglide y Blocknovas, además de la empresa Angeloper Agency, con domicilios en ciudades estadounidenses como Nueva York y Nuevo México. Estas empresas aparecían legítimas, incluso registraron direcciones legales reales, generando confianza suficiente para atraer a sus objetivos principales: desarrolladores y expertos en bitcoin.
El modus operandi de esta campaña es especialmente notable por su nivel de sofisticación y autenticidad. En lugar de recurrir a ataques masivos e indiscriminados, los hackers emplearon un enfoque de ingeniería social altamente dirigido. Publicaron ofertas de trabajo falsas y crearon perfiles profesionales que imitaban perfectamente a los reales en plataformas similares a LinkedIn. Estos perfiles utilizaban fotos alteradas mediante inteligencia artificial para evadir la detección a través de búsquedas inversas, dificultando así la identificación de la falsedad por parte de las víctimas potenciales y los investigadores. Dentro del proceso falso de selección, los candidatos interesados eran invitados a participar en entrevistas, generalmente en formato de videollamada, para lo cual se les solicitaba descargar aplicaciones o herramientas aparentemente necesarias para la interacción.
Sin embargo, al intentar grabar o transmitir su presentación, los usuarios recibían mensajes de error con instrucciones para copiar y pegar ciertos códigos como solución. Esta acción resultaba en la instalación silenciosa de malware en sus dispositivos. Las amenazas digitales utilizadas en esta campaña no son nuevas en el repertorio del grupo Lazarus. Se identificaron al menos tres tipos de virus previamente vinculados a ataques norcoreanos: Otter Cookie, BeaverTail e InvisibleFerret. BeaverTail está diseñado para descargar malware adicional y realizar exfiltración de datos, mientras que Otter Cookie e InvisibleFerret enfocan su ataque en información privada crítica como los contenidos del portapapeles y claves de billeteras criptográficas.
La capacidad remota de estos programas maliciosos permite a los atacantes acceder a los sistemas comprometidos, robar datos sensibles e incluso instalar ransomware o malware adicional. Un caso reportado por los investigadores incluyó a una víctima que experimentó la pérdida de control sobre su billetera MetaMask, un activo digital valioso en el ámbito de las criptomonedas. Este evento resalta la gravedad de la amenaza y la necesidad imperiosa de mejorar las medidas de protección para los desarrolladores y usuarios del sector. Frente a la creciente amenaza, las fuerzas del orden estadounidenses han intervenido, logrando tomar el control del dominio web de Blocknovas y deshabilitar su funcionamiento. Esta acción forma parte de un esfuerzo concertado para interrumpir las redes de operaciones de los ciberdelincuentes norcoreanos que se aprovechan de la confianza y el desconocimiento del público.
A pesar de esta medida, Softglide y otras infraestructuras utilizadas en la campaña continúan activas, evidenciando que la batalla contra este tipo de ataques está lejos de concluir. Desde comienzos de 2024, esta modalidad de ataque ha estado vigente, dentro de un marco más amplio donde Lazarus Group también ha sido responsable de robos millonarios en criptomonedas, como los casos del hackeo a la red Ronin por 600 millones de dólares y la violación de seguridad en Bybit que alcanzó los 1.400 millones de dólares. Estos antecedentes subrayan la sofisticación y el alcance global de las ofensivas norcoreanas contra el ecosistema digital. La creatividad del grupo no se limita a la técnica, sino que se extiende al uso de inteligencia artificial para crear una red elaborada de perfiles falsos que confunden tanto a las víctimas como a los sistemas automáticos de detección.
La manipulación de imágenes auténticas, alterándolas apenas para que parezcan diferentes pero suficientemente reales, es un ejemplo de cómo la tecnología puede ser utilizada para fines malintencionados, complicando la tarea de los expertos en ciberseguridad. La comunidad tecnológica y los desarrolladores que trabajan con criptomonedas deben estar alerta ante estas tácticas cada vez más ingeniosas. La confianza en procesos de reclutamiento digitales debe ser respaldada por verificaciones exhaustivas, incluida la validación de las empresas y el contacto directo mediante canales oficiales. Además, la educación continua sobre los riesgos de descargar software no verificado y la implementación de medidas técnicas como el uso de gestores de contraseñas, autenticación multifactor y monitoreo constante de las billeteras digitales son pasos fundamentales para mitigar el impacto de estas amenazas. El caso también plantea un desafío para las autoridades internacionales, que deben colaborar para desmantelar estas operaciones transnacionales y frenar el financiamiento ilícito asociado a regímenes que emplean la ciberdelincuencia como mecanismo para evadir sanciones económicas y generar recursos.
En conclusión, la campaña de hackers norcoreanos que utiliza empresas pantalla estadounidenses para atraer y atacar a desarrolladores de criptomonedas representa uno de los ejemplos más avanzados de la evolución permanente de las amenazas cibernéticas. Se convierte en un llamado urgente para fortalecer tanto la vigilancia tecnológica como la cooperación global para garantizar un entorno más seguro y resiliente para quienes innovan y contribuyen al desarrollo del ecosistema digital.
