La agencia análisis Paradigm ha mapeado las sofisticadas operaciones cibernéticas de Corea del Norte. Desde ese país se dirigen sofisticadas operaciones cibernéticas, destacando múltiples grupos de amenazas y vectores de ataque.
Samczsun, socio de investigación de la firma, informa que en febrero los piratas informáticos norcoreanos fueron noticia con lo que ahora se considera el mayor ataque informático en la historia de las criptomonedas. El ataque a Bybit, que resultó en la sustracción de 1.400 millones de dólares, fue obra de los cibercriminales norcoreanos del Grupo Lazarus. Los fondos fueron a parar a distintos mezcladores de criptomonedas.
“Alguien había llevado a cabo el mayor hackeo en la historia [de las criptomonedas], y estábamos en primera fila”, recordó Samczsun en una publicación para referirse al reciente multimillonario ataque. Los usuarios de la plataforma de intercambio y la comunidad en general presenciaron el robo en tiempo real. Paradigm fue una de las firmas en colaborar con Bybit para confirmar el acceso no autorizado.
North Korea reopened to visitors in Feb 2025. Nine days later, it allegedly pulled off the biggest cryptocurrency heist in history—and closed its borders again
How is one of the world’s poorest countries funding itself?
Cybercrime plays a key role
https://t.co/51Olf1apjX
— Global Initiative (@GI_TOC) April 1, 2025
Samczsun viene trabajando con SEAL 911, una unidad de respuesta a emergencias afiliada a la Security Alliance, ambos vienen colaborando junto como una organización sin fines de lucro dedicada a proteger sistemas descentralizados.
Te puede interesar: CASO Bybit: Piratas Informáticos Vaciaron las Billeteras
Corea del Norte va más allá del Grupo Lazarus
Samczsun afirma que se tiene una concepción errónea en cuanto a cómo “clasificar y nombrar” las operaciones del grupo y las acciones del país asiático. Sostiene que su bien es cierto que el término “Grupo Lazarus” es “coloquialmente aceptable” se debe analizar cómo la República Popular Democrática de Corea (RPDC) con más profundidad. Para determinar la ofensiva cibernética de la RPDC se necesita más rigor.
i wrote a thing about all the different teams in north korea dedicated exclusively to fucking your shit up and how you can know exactly which one just ruined your entire monthhttps://t.co/KidMTTWlyx
— samczsun (@samczsun) March 31, 2025
Ciertamente, “Grupo Lazarus” se ha convertido en el término predilecto de los medios para describir la ciberactividad de la RPDC. Pero la criminalidad digital dirigida por Kim Jong Un va más allá del Grupo. Los investigadores de ciberseguridad “crearon designaciones más precisas” para indicar quiénes están realizando actividades específicas.
Te puede interesar: Hackers Norcoreanos han Robado $2B desde 2018
En Pyongyang funciona una oficina de piratería informática
La piratería de Corea del Norte opera bajo la Oficina General de Reconocimiento (RGB). Desde ella se dirigen las operaciones de otros grupos de cibercriminales identificados como AppleJeus, APT38, DangerousPassword y TraderTraito.
El grupo TraderTraitor ha sido identificado por Samczsun como “el actor más sofisticado de la RPDC que apunta a la industria de las criptomonedas”. Sus ataques han sido dirigidos contra los intercambios con grandes reservas. En el rastreo de sus actividades se ha podido determinar que emplea técnicas avanzadas. Este grupo estaría detrás de los ataques a Axie Infinity, además de manipular WazirX.
₿uyer ₿eware: Fake Cryptocurrency Applications Serving as Front for AppleJeus Malware https://t.co/Er2cHSK9Bp #Malware #CyberSecurity #Hacking #Infosec pic.twitter.com/Ji5DJ7Hz6h
— Ptrace Security GmbH (@ptracesecurity) December 3, 2022
Por su parte, AppleJeus se especializa en ataques complejos a la cadena de suministro. Estas detrás del ataque a AppleJeus se especializa en ataques complejos a la cadena de suministro. Los criminales de Dangerous Password llevan a cabo ingeniería social de bajo nivel a través de correos electrónicos de phishing. También han filtrado mensajes maliciosos en plataformas como Telegram.
APT38 surgió de Lazarus como un subgrupo. Se cree que están en operaciones desde el 2016. Se centran en delitos financieros. Han llevado a cabo ataques contra bancos tradicionales, aunque en los últimos años han redirigido sus operaciones a las plataformas de criptomonedas.
Te puede interesar: Hackers Norcoreanos Robaron $600 Millones en 2023
La contraofensiva
Corea del Norte ha demostrado su capacidad para desplegar ataques de día cero. Aunque Samczsun asegura que “no ha habido incidentes registrados o conocidos” de que los haya implementado directamente contra la industria de las criptomonedas. Todavía estos grupos “suplementarios” de la actividad de Lazarus no han podido atacar con contundencia al mundo cripto.
El FBI identificó al grupo Lazarus, vinculado a Corea del Norte, como responsable del mayor robo de criptoactivos, sustraídos de Bybit. El ataque implicó el robo de casi US$1,500 millones, que el grupo comenzó a convertir en Bitcoin y otras criptomonedas. #diarioelmen pic.twitter.com/diQda5EJKe
— Diario El Men (@elmen_pe) March 8, 2025
Los piratas informáticos de la RPDC son una amenaza cada vez mayor para nuestra industria, y no podemos derrotar a un enemigo que no conocemos ni entendemos.
Samczsun, socio de investigación de Paradigm
El investigador instó a las empresas de criptomonedas a implementar prácticas de seguridad básicas como el acceso con privilegios mínimos, la autenticación de dos factores y la segregación de dispositivos. “Las medidas también pueden fallar, en este caso sería útil contactar con grupos de seguridad como SEAL 911 y la unidad de la RPDC del FBI”, afirmó.
