#LazarusGroup #PhishingCripto #SeguridadCibernética #SlowMist #FenbushiCapital #LinkedIn #RoboDeCriptomonedas #LavadoDeDinero
La firma de ciberseguridad SlowMist ha desvelado una operación de phishing sofisticada por el Grupo Lazarus, un colectivo de hackers supuestamente basado en Corea del Norte, que implicaba personificar a un socio de Fenbushi Capital en LinkedIn. Este esquema tenía como objetivo explotar el acceso de los empleados y robar sus valiosos activos criptográficos. Fenbushi Capital, un capitalista de riesgo blockchain con sede en Shanghai desde 2015, ha estado en la vanguardia de apoyar proyectos innovadores a través de los continentes. El nombre y reputación de la firma en la reconfiguración de industrias como las finanzas y la salud, la hicieron un frente atractivo para actores malintencionados.
Según el Jefe de Seguridad de la Información de SlowMist, quien opera bajo el pseudónimo 23pds, el Grupo Lazarus creó identidades falsas en LinkedIn, haciéndose pasar por socios de Fenbushi Capital. Iniciaban contacto con posibles objetivos bajo la apariencia de oportunidades de inversión o de networking en conferencias. La semana pasada, SlowMist ya emitió una alerta similar, descubriendo que el Grupo Lazarus actualmente apunta a individuos a través de LinkedIn para robar privilegios de empleados o activos mediante malware.
El método de operación fue sistemáticamente engañoso. Primero, los hackers se acercaban a ejecutivos de alto nivel o al personal de HR a través de LinkedIn. Se presentaban como buscadores de empleo especializados en React o desarrollo blockchain, luego animaban a los empleados desprevenidos a ver su repositorio de códigos y ejecutar un código demostrando su competencia. Sin embargo, este código era malicioso, diseñado para comprometer la seguridad del sistema y facilitar el acceso no autorizado. Esta estrategia no fue la primera incursión del Grupo Lazarus utilizando LinkedIn como herramienta para sus actividades. En un incidente notable de julio de 2023, a un programador de CoinsPaid en Estonia se le engañó para que descargase un archivo malicioso.
El evento ocurrió durante lo que se presentó como una entrevista de trabajo a través de una videoconferencia. Este lapso de seguridad condujo a un devastador robo de 37 millones de dólares de CoinsPaid. Pavel Kashuba, cofundador de CoinsPaid, comentó sobre el ataque: “El ataque fue muy rápido. Son profesionales”. Análisis posteriores de Chainalysis resaltan que grupos como Lazarus han adaptado y refinado sus métodos para blanquear fondos robados. Tras la toma de mezcladores populares como Sinbad y la sanción a Tornado Cash, los hackers norcoreanos han pasado a tecnologías más nuevas. Ahora utilizan el mezclador basado en Bitcoin YoMix para ocultar sus transacciones, empleando técnicas avanzadas de lavado de dinero como el chain hopping y los puentes entre cadenas para evadir la detección y maximizar el valor extraído de actividades ilícitas.
Comments are closed.