Los hackers de Corea del Norte son la pesadilla del mundo de las criptomonedas. De acuerdo con un análisis de Elliptic Research, han incrementado su actividad en los últimos meses, concretando algunos de los robos más prolíficos del sector. Y las pistas ponen la lupa sobre Lazarus, el principal grupo de piratas informáticos ligados a Kim Jong-un.
Específicamente, entre el 3 de junio y el 12 de septiembre, se produjeron 5 ataques a carteras y protocolos de criptomonedas —tanto centralizados como descentralizados— que arrojaron como saldo la sustracción de alrededor de 240 millones de dólares. Todo apunta a que los hackeos han sido perpetrados por Corea del Norte. Por Lazarus, más específicamente.
Esto se desprende de un análisis realizado a los últimos incidentes de gran calibre ocurridos en el ecosistema cripto. Según los investigadores, los cibercriminales de Corea del Norte volvieron a escena después de casi un año alejados de los hechos delictivos de magnitud.
Pero esta vez han emprendido una seguidilla de hackeos muy lucrativos. El 3 de junio robaron más de 100 millones de dólares en fondos almacenados en Atomic Wallet, una billetera non-custodial y descentralizada. El 22 de julio se llevaron 37,3 millones de dólares de CoinsPaid y 60 millones de dólares de Alphapo, dos firmas de pagos cripto. El 4 de septiembre sustrajeron $41 millones de Stake, un casino en línea que opera con criptomonedas. Y, por último, el 12 de septiembre, drenaron 54 millones de dólares del exchange CoinEx.
La autoría de 4 de estos 5 ataques ha sido confirmada por el FBI como parte del accionar de los hackers de Corea del Norte. El único caso todavía no ratificado es el más reciente, que afectó a CoinEx. Aunque la investigación de Elliptic señala que los fondos han sido enviados a direcciones de carteras utilizadas previamente por Lazarus. Por ende, todo apunta a que los cibercriminales que operan bajo el manto del régimen norcoreano han sido los autores.
Corea del Norte vuelve a las andanzas con los hackers de Lazarus
Como indicamos previamente, el reciente raid delictivo de los hackers de Corea del Norte ha marcado su retorno a los primeros planos. Hasta lo que sucedió a mediados de este año, el último ataque de gran magnitud adjudicado a Lazarus databa de junio de 2022. Por entonces, robaron 99,6 millones de dólares en criptomonedas al puente Horizon de la red Harmony.
Previo a ello, habían ganado notoriedad por sustraer alrededor de 620 millones de dólares del juego Axie Infinity, a través de una vulneración del puente Ronin. Este se consideró en su momento como el robo de criptomonedas más importante de la historia, aunque la posterior caída en las cotizaciones de los activos también impactó sobre el botín obtenido por los piratas informáticos.
Corea del Norte utiliza una legión de hackers para obtener medios económicos que le permitan continuar financiando su programa armamentístico y evadir sanciones internacionales. Con el desplome de las cotizaciones de las principales criptomonedas a mediados de 2022, en el denominado "invierno cripto", los planes de Kim Jong-un también se vieron afectados. No solo porque sus tenencias en criptomonedas se depreciaron considerablemente, sino por las crecientes dificultades para convertirlas en dinero fiduciario.
El cierre de mixers como Tornado Cash —la plataforma preferida por los hackers para lavar los activos robados—, así como la imposibilidad de usar exchanges centralizados, les obligaron a buscar alternativas mucho menos convenientes. Conseguir socios para mover cientos de millones de dólares obtenidos ilegalmente no es fácil, ni tampoco barato. Expertos estiman que las comisiones que les cobran son tan caras que los hackers de Corea del Norte suelen obtener apenas un tercio del valor real de lo que roban.
Redoblando la apuesta
Es evidente, de todos modos, que pese a las dificultades o a las operaciones de perfil bajo, Lazarus nunca abandonó del todo sus actividades delictivas. De hecho, Elliptic Research afirma que los hackers de Corea del Norte están volviendo a poner el punto de mira sobre las plataformas de criptomonedas centralizadas. Esto marca un cambio de estrategia, considerando que en los últimos dos años sus principales víctimas habían sido los protocolos de finanzas descentralizadas.
De esta forma, Lazarus y demás piratas norcoreanos apuestan por retomar una senda ya conocida. Se estima que entre 2017 y 2021, previo a la explosión en popularidad de las propuestas DeFi, fueron autores de 49 hackeos que derivaron en el robo de criptomonedas.
A comienzos de 2022, cuando las cotizaciones todavía eran bastante más elevadas que en la actualidad, se estimaba que al menos una parte de lo obtenido en dichos ataques estaba valuado en 170 millones de dólares. Ahora, Corea del Norte ha redoblado la apuesta y se ha llevado alrededor de 240 millones de dólares en los últimos 100 días.