El FBI, la Agencia de Policía Nacional de Japón y el Centro de Delitos Cibernéticos del Departamento de Defensa han confirmado que piratas informáticos vinculados a Corea del Norte orquestaron la violación de 305 millones de dólares en mayo de 2024 del intercambio de cifrado japonés DMM Bitcoin.
Una declaración conjunta emitida el 23 de diciembre atribuyó el ataque a los actores de amenazas TraderTraitor, también conocidos como Jade Sleet, UNC4899 y Slow Piscis. Estos piratas informáticos suelen atacar a sus víctimas mediante sofisticados ataques de ingeniería social diseñados para explotar las vulnerabilidades humanas.
Investigaciones independientes habían vinculado la infracción con el notorio Grupo Lazarus, otro sindicato de hackers norcoreano famoso por sus robos de criptomonedas a gran escala.
El criptoinvestigador ZachXBT destacó las similitudes entre los métodos de lavado utilizados en este ataque y los vinculados a Lazarus, que anteriormente planeó el robo de 600 millones de dólares del puente Ronin de Axie Infinity.
Un informe de Chainalysis reveló que los piratas informáticos respaldados por Corea del Norte han robado más de 1.300 millones de dólares en 47 incidentes sólo este año.
Entendiendo el hackeo de DMM Bitcoin
Según la declaración de las autoridades, la violación de DMM Bitcoin se debió a un plan de ingeniería social bien coordinado dirigido a los empleados de Ginco, una empresa japonesa de software de billetera criptográfica.
En marzo, un agente norcoreano que se hacía pasar por reclutador en LinkedIn se puso en contacto con un empleado de Ginco. El atacante compartió un script Python malicioso disfrazado de prueba previa al empleo alojado en una página de GitHub.
Sin darse cuenta del riesgo, el empleado copió el script en su cuenta personal de GitHub, concediendo sin darse cuenta al hacker acceso a datos confidenciales de las cookies de sesión. Esto permitió al atacante hacerse pasar por el empleado comprometido e infiltrarse en el sistema de comunicación no cifrado de Ginco.
A finales de mayo, el actor de amenazas utilizó este punto de apoyo para manipular una solicitud de transacción legítima de un empleado de DMM Bitcoin, y finalmente robó 4.502,9 BTC, valorados en 305 millones de dólares.
¿Qué sigue?
El incidente agravó los desafíos para DMM Bitcoin, que recientemente anunció planes de cesar sus operaciones para marzo de 2025.
Desde entonces, el intercambio ha detenido los retiros y las actividades comerciales al contado, lo que complica los esfuerzos de los usuarios para transferir sus activos.
Sin embargo, la compañía tiene la intención de trasladar todos los fondos, incluidos el yen japonés y las criptomonedas, a SBI VC Trade, una subsidiaria del gigante financiero japonés SBI Holdings.