Un grupo de hackers norcoreanos conocido como TraderTraitor fue el responsable del robo de bitcoins valorados en ¥ 48.200 millones a la exchange japonesa DMM Bitcoin. Los ciberdelincuentes se hicieron pasar por caza talentos para acceder al sistema de transacciones.
Las autoridades japonesas y estadounidenses han revelado detalles impactantes sobre un robo de criptomonedas a gran escala perpetrado por un grupo de hackers norcoreanos.
Según el anuncio conjunto de la Agencia Nacional de Policía de Japón y el FBI de Estados Unidos, el grupo TraderTraitor, vinculado al grupo de hackers Lazarus de Corea del Norte, fue el responsable del robo de bitcoins valorados en ¥ 48.200 millones (cerca de U$S 310 millones) de la plataforma de intercambio japonesa DMM Bitcoin en mayo.
Los investigadores determinaron que un ciberactor que se hizo pasar por un reclutador de personal contactó a un empleado de Ginco Inc., una empresa de software de billeteras de criptomonedas que DMM Bitcoin había contratado para manejar sus operaciones de trading.
El falso reclutador alegó estar impresionado por las habilidades del empleado y lo persuadió para que ejecutara un programa supuestamente diseñado para evaluar sus capacidades, pero que en realidad estaba infectado con un virus informático que le permitió al grupo TraderTraitor comprometer los privilegios del trabajador en DMM Bitcoin.
A mediados de mayo, los actores de TraderTraitor accedieron repetidamente al sistema de transacciones de criptomonedas de Ginco, modificando los montos de las operaciones y los destinatarios de las transferencias para robar los ¥ 48.200 millones en bitcoins el 31 de mayo.
Si bien los cibercriminales lograron blanquear los fondos robados, el FBI logró rastrear parte de ellos hasta una billetera controlada por TraderTraitor. Además, la cuenta de LinkedIn utilizada para contactar al empleado y el servidor conectado a su dispositivo coincidían con los utilizados por este grupo de hackers norcoreanos.
Este ataque es el octavo en el que el gobierno japonés ha identificado públicamente a los responsables, una práctica conocida como «atribución pública».
Cabe destacar que, según un informe de la ONU, los ciberataques de Corea del Norte a empresas relacionadas con criptomonedas entre 2017 y 2023 sumaron un total de U$S 3.000 millones, fondos que habrían sido utilizados para financiar el desarrollo de armas de destrucción masiva.
Las autoridades japonesas han instado a las empresas a estar atentas a las tácticas de los hackers, que suelen recopilar información sobre sus objetivos antes de establecer contacto, como ocurrió en este caso con el empleado de Ginco.
Este robo masivo de bitcoins es un duro golpe para la plataforma DMM Bitcoin, que ya ha anunciado que transferirá las carteras de sus clientes a la unidad de intercambio de criptomonedas de SBI Holdings Inc. a partir de marzo del próximo año y cerrará sus operaciones.
