Grupo Lazarus vinculado al robo de U$S60 millones en criptomonedas

Analistas de blockchain rastrearon al grupo de hacking Lazarus de Corea del Norte por un ataque reciente a la plataforma de procesamiento de pagos Alphapo, donde los atacantes robaron casi U$S60 millones en criptomonedas.

Alphapo es un proveedor de pagos criptográficos centralizado para sitios de apuestas, servicios de suscripción de comercio electrónico y otras plataformas en línea, que fue atacado el domingo 23 de julio, con un monto robado inicial estimado en U$S23 millones.

El Grupo Lazarus es un actor de amenazas de Corea del Norte con vínculos con el gobierno de Corea del Norte, anteriormente vinculado al atraco de Atomic Wallet de U$S 35 millones, el hacking de Harmony Horizon de U$S 100 millones y el robo de Axie Infinity de U$S 617 millones.

Este robo incluyó más de 6 millones de USDT, 108.000 USDC, 100,2 millones de FTN, 430.000 TFL, 2.500 ETH y 1.700 DAI, todos extraídos de monederos calientes, probablemente gracias a una fuga de claves privadas.

El conocido investigador de cadenas criptográficas "ZackXBT" advirtió que los atacantes también drenaron U$S 37 millones adicionales de TRON y BTC, como se ve en los datos de Dune Analytics, elevando la cantidad total robada de Alphapo a U$S 60.000.000.

Además, ZackXBT afirmó que el ataque parece tener características de un atraco de Lazarus y respaldó la afirmación diciendo que Lazarus crea "una huella dactilar muy distinta en la cadena", pero no se proporcionaron más detalles.

Por lo general, Lazarus utiliza ofertas de trabajo falsas para atraer a los empleados de empresas de cifrado para que abran archivos infectados, comprometiendo sus computadoras y robando credenciales de la cuenta. Esto crea una vía de ataque hacia la red del empleador de la víctima, donde pueden obtener acceso no autorizado y planificar y ejecutar meticulosamente ataques que cuestan millones de dólares.

Los analistas que rastrean el movimiento de los fondos robados a los exchanges de criptomonedas informan haber visto intentos de lavado a través de Bitget, Bybit y otros. Al mismo tiempo, Lazarus también es conocido por usar pequeños servicios de mezcla de criptomonedas.

Dave Schwed, director de operaciones de la empresa de seguridad blockchain Halborn, le dijo a BleepingComputer que los atacantes probablemente robaron claves privadas, lo que permitió el acceso a las billeteras.

Si bien carecemos de detalles, parece que el presunto "hacking" probablemente se relaciona con el robo de claves privadas. Esta inferencia proviene de observar el movimiento de fondos de billeteras calientes independientes y la interrupción repentina del comercio. Además, las transacciones posteriores han llevado a ZachXBT, un renombrado "detective en cadena", a suponer que el notorio grupo Lazarus de Corea del Norte es el perpetrador de este ataque.

La firma de seguridad Blockchain SlowMist cree que el hackeo de Alphapo puede estar relacionado con dos hackeos recientes en Atomic Wallet y CoinsPaid.

La plataforma de pagos en criptomonedas CoinsPaid también ha señalado a Lazarus Group como responsable del hackeo de sus sistemas internos, que sustrajo U$S 37,3 millones de su empresa el 22 de julio. CoinsPaid presentó un informe a las fuerzas de seguridad estonias tres días después del hackeo para investigar más a fondo el exploit. Además, empresas de seguridad de blockchain como Chainalysis, Match Systems y Crystal colaboraron en la investigación preliminar de CoinsPaid durante los primeros días.

Fuente: BC