Este miércoles, la Oficina Federal de Investigación de EEUU (FBI, «por sus siglas en inglés»), en un comunicado acusó al grupo de “amenaza persistente avanzada” (APT, «por sus siglas en inglés») de Corea del Norte, denominada TraderTraitor, de ser los responsables del ciberataque al criptointercambio con sede en Dubai, Bybit, el pasado viernes 21 de febrero de 2025.
Dicha organización cibercriminal, también conocida con una variedad de nombres como Lazarus Group, APT38, BlueNoroff y Stardust Chollima, por las autoridades y la industria de la ciberseguridad en sus seguimientos, robó casi 1.500 millones de dólares a Bybit.
El FBI también advirtió en una publicación en la plataforma de red social X, que TraderTraitor “Lazarus Group”, comenzó a convertir de forma masiva parte de los fondos robados en Bitcoin (BTC) y otros activos digitales en miles de direcciones en múltiples redes blockchains.
North Korean cyber actors have stolen approximately $1.5 billion in Ethereum from Bybit—a cryptocurrency exchange—and are dispersing the stolen assets across addresses on multiple blockchains. The FBI recommends blocking transactions with these addresses: https://t.co/yjkrv7sQDw pic.twitter.com/l2ATBNbW3m
— FBI (@FBI) February 27, 2025
El mensaje publicado dice: “Los cibercriminales norcoreanos han robado aproximadamente 1.500 millones de dólares en Ethereum de Bybit (una plataforma de intercambio de criptomonedas) y están distribuyendo los activos robados en direcciones de múltiples cadenas de bloques”.
En consecuencia, el FBI recomendó bloquear las transacciones con una lista de 51 direcciones del TraderTraitor “Lazarus Group”, afiliado a la República Popular Democrática de Corea (Corea del Norte), y al régimen de Kim Jong-un.
En definitiva, las suposiciones de varios investigadores blockchain fueron exactas, TraderTraitor “Lazarus Group”, es el actor detrás del ciberataque y posterior robo de ETH Bybit, el cual ha sido calificado como el mayor hackeo de la historia del sector.
El FBI señala en su comunicado que “los actores de TraderTraitor están actuando con rapidez y han convertido algunos de los activos robados en bitcoins y otros activos virtuales dispersos en miles de direcciones en múltiples cadenas de bloques. Se espera que estos activos se laven aún más y, finalmente, se conviertan en moneda fiduciaria”.
En TraderTraitor “Lazarus Group”, son especialistas en realizar ciberataques muy sofisticados que pueden ser sostenidos en el tiempo. Su ataque básicamente les permite establecer una presencia no detectada en una red para robar datos confidenciales durante un período prolongado.
Este grupo ciberdelictivo, planifica y diseña cuidadosamente cada ciberataque en particular para infiltrarse en una organización específica, evadiendo las medidas de seguridad existentes con la finalidad de pasar desapercibido durante todo el tiempo que deseen.
La capacidad de TraderTraitor “Lazarus Group”, ha sido probada en muchas organizaciones de primer nivel y gobiernos, como sucedió cuando en 2014, realizó un ciberataque contra Sony Pictures, como parte de una campaña de represalia por la película The Interview, en la que se ridiculizaba al máximo líder del régimen norcoreano Kim Jong Un.
Este ciberataque contra Sony, se convirtió en la carta de presentación de TraderTraitor “Lazarus Group” hace más de 10 años atrás. Aunque desde entonces, también se le ha atribuido otros ataques a empresas globales, luego comenzó a dar golpes contra la criptoindustria con grandes ganancias.
Su primera víctima reconocida por las autoridades y empresas de ciberseguridad fue la plataforma Ronin Network del videojuego Axie Infinity, donde tras un ataque cibernético lograron apoderarse de 620 millones de dólares en ETH y USD Coin de en 2022.
En enero de 2022, la empresa de análisis blockchain Chainalysis en un reporte titulado “Los piratas informáticos norcoreanos tienen un año prolífico y sus tenencias de criptomonedas no blanqueadas alcanzan un máximo histórico”, explicaron en detalle que este grupo atacó siete plataformas de criptomonedas y extrajeron activos digitales por un valor de casi 400 millones de dólares en 2021.
Ese año había sido calificado como el más prolífico, pero esa cantidad ha sido superada por mucho y los investigadores coinciden en que estos fondos robados van a parar al programa nuclear del régimen norcoreano evadiendo las sanciones internacionales.
Un informe del Consejo de Seguridad de la ONU en 2023 indicó que el régimen norcoreano hace referencia a un informe que describe “la continua evasión de sanciones por parte de la RPDC e indica que los piratas informáticos vinculados a la RPDC robaron una cifra récord de 630 millones de dólares en activos de criptomonedas en 2022”.
De hecho, en febrero del año pasado supervisores de sanciones de la Organización de las Naciones Unidas (ONU) investigaron estos ciberataques por parte de Corea del Norte, cuyos fondos robados son usados según las investigaciones, en el desarrollo de su programa de armas nucleares y de destrucción masiva (ADM).
También, este grupo estuvo detrás del ciberataque al criptointercambio DMM Bitcoin en 2024, donde se robaron 4.502,9 BTC, equivalentes en junio del año pasado a más de 320.154.388,84 dólares (unos 49.689.168.825,75 yenes) que fueron robados de su billetera principal por TraderTraitor “Lazarus Group”, según el FBI.
De acuerdo con las investigaciones en ciberseguridad, Corea del Norte, ha estado entrenando a sus hackers, desde mediados de los años 1990, cuando inició su programa de guerra cibernética. Hoy en día es una rama del Buró General de Reconocimiento conocida como el Buró 121, que posee unos 6.000 hackers, con operaciones en varios países, según un Informe del Ejército de Estados Unidos sobre las capacidades militares de Corea del Norte de 2020.
Este Buró General de Reconocimiento, es el principal servicio de inteligencia exterior de Corea del Norte y sus hackers, se encuentran estacionados en países como Bielorrusia, China, India, Malasia, Rusia, entre otros países tolerantes con estos grupos.
Evidentemente, como suele suceder en estos casos de ciberataque y robo de criptomonedas, luego que el FBI, divulgó su acusación contra TraderTraitor “Lazarus Group”, el precio de la segunda criptomoneda del mercado el Ether (ETH) de la red Ethereum sufrió una caída de hasta un 5%, aunque, para el final del día, se había recuperado levemente, para después volver a caer.
Sin embargo, el ETH atraviesa momentos difíciles actualmente. Su valor se ha depreciado rápidamente en más de un 20% desde el pasado fin de semana cuando al menos por unos minutos, se ubicó por encima de los 2.889,00 dólares. En comparación con los 2.163,28 dólares que es su valor actual.
Por su parte, Bybit es uno de los más grandes e importantes criptointercambios dentro del ecosistema. El volumen de comercio el día de hoy alcanzó los 3.465.638.472 dólares y además posee 11.771.168.785,72 dólares en las reservas del intercambio, según CoinGecko.