Hackers norcoreanos atacan de nuevo: se hacen pasar por una empresa de capital de riesgo para robar 34 millones a una start up de criptomonedas

El Grupo Lazarus, un grupo de piratas informáticos respaldados por el gobierno de Corea del Norte, detrás del ataque de ransomware WannaCry, tienen una nueva táctica, según el FBI. Después de embolsarse más de 3.000 millones de dólares en atracos de criptomonedas anteriores, sus piratas informáticos ahora se están haciendo pasar por capitalistas de riesgo para obtener tiempo y acceso a los ejecutivos de criptomonedas para instalar códigos maliciosos.

Según recoge la prestigiosa revista Forbes, los hackers se han hecho pasar por solicitantes de empleo para establecer una videollamada con personal de empresas de criptomonedas y utilizar dicha reunión de trabajo para enviar archivos o códigos infectados a sus objetivos.

Según recoge esta publicación, eso ha ayudado a los equipos vinculados a Pyongyang a robar más de 3.000 millones de dólares desde 2017. Pero hacerse pasar por capitalistas de riesgo parece ser una nueva estrategia.

Según detalla el FBI, el pasado mes de noviembre el grupo Lazarus de Corea del Norte supuestamente robó más de 34 millones de dólares en tokens de una startup de criptomonedas haciéndose pasar por una empresa "prominente" con sede en Hong Kong. Esta publicación asegura que los piratas informáticos utilizaron una cuenta falsa de Telegram para ponerse en contacto con el director ejecutivo de la startup en noviembre de 2023.

“Durante estas comunicaciones, el director ejecutivo hizo clic en un enlace para unirse a una videoconferencia con la persona que decía ser una Venture Capital, pero el enlace no parecía funcionar. Luego, el impostor envió al director ejecutivo un archivo de guión para solucionar el problema, que el director ejecutivo ejecutó”, asegura a Forbes Justin M. Vallese, agente especial del FBI, en el expediente judicial.

El script instaló un malware conocido como CryptoMimic que les dio a los piratas informáticos acceso remoto a una de las computadoras de la startup. Allí, los piratas informáticos supuestamente encontraron un texto que contenía las claves privadas de 5.000 direcciones que contenían tokens criptográficos por valor de más de 17 millones de dólares. "Los perpetradores aparentemente borraron este archivo de la computadora del empleado, eliminando el acceso de la empresa", explicó el agente especial del FBI.

El FBI no identificó el nombre de la startup en su presentación judicial, pero declaró que una de las criptomonedas robadas en el atraco de marzo de 2024 era un token llamado NFP lanzado por una startup de criptomonedas NFPrompt respaldada por Binance, que fabrica NFT generadas por IA. La compañía tuiteó el 15 de marzo que “un grupo de piratas informáticos comprometió algunas billeteras, incluidas las de los administradores de contratos de NFP”, acompañado de una ilustración de un pingüino con una gabardina y una placa de sheriff.