El pasado viernes, fue divulgado un informe de la firma de inteligencia de blockchain TRM Labs, en donde se afirma que los cibercriminales norcoreanos han ejecutado más de 30 ciberataques que les han dejado ganancias por más de 2.000 millones de dólares en los últimos cinco años.
La firma de inteligencia blockchain, sostiene que estos cibercriminales se les atribuyen robos que no les pertenecen según su propia investigación. “Si bien los informes han indicado que la cantidad de criptomonedas robadas por Corea del Norte desde 2018 asciende a 3.000 millones de dólares, nuestra investigación indica que esta cifra probablemente incluye varios hacks grandes mal atribuidos a Corea del Norte”.
El mismo informe, señala que tan sólo en este año 2023, los ciberdelincuentes norcoreanos, han robado más de 200 millones de dólares en criptomonedas, “lo que representa más del 20 % de todas las criptomonedas robadas este año”, pero es una modesta cantidad en comparación con lo obtenido en 2022, cuando se apoderaron de 800 millones de dólares en criptomonedas.
TRM Labs, con sede en San Francisco, es una empresa de inteligencia de blockchain que desde 2018 ayuda a las instituciones financieras, las empresas criptográficas y las agencias gubernamentales a detectar e investigar los delitos y fraudes financieros relacionados con las criptomonedas.
Entre sus miembros, cuentan con personal proveniente de INTERPOL, la Policía Federal Australiana, la Agencia Nacional del Crimen del Reino Unido, del área de Investigación Criminal del IRS de Estados Unidos, el FBI y el Servicio Secreto de los Estados Unidos, entre otras agencias de cumplimiento de la Ley.
El informe, explica que los cibercriminales norcoreanos, son el grupo que más éxito han tenido en sus ciberataques. En lo que va de 2023, sus ciberataques han sido hasta 10 veces más grandes que los de otros actores del espacio cibercriminal, ya que poseen la capacidad de evolucionar en sus objetivos, técnicas y patrones de lavado de dinero utilizando el ecosistema criptográfico lleno de cadenas múltiples y puentes.
TRM Labs, dice en su informe, que los ciberpiratas de Corea del Norte “parecen ser oportunistas, lo que se refleja en una variedad de tipos de objetivos y exploits que han resultado en ganancias sin precedentes”, haciendo que estos se centren casi exclusivamente en el ecosistema DeFi para llevar a cabo sus ciberataques.
De allí que, los ciberataques perpetrados por grupos con orígenes en Corea del Norte contra puentes de cadenas cruzadas, que tienen un volumen de usuarios y criptomonedas cada vez mayor, se han convertido en un objetivo continuo de estos actores.
Muestra de ello, es que 800 millones obtenidos en 2022 por los cibercriminales norcoreanos fueron gracias a tres ciberataques contra puentes entre cadenas, incluyendo los 625 millones de dólares robados del puente Ronin de Axie Infinity en marzo del año pasado.
Los cibercriminales norcoreanos explotaron vulnerabilidades conseguidas por ellos mismos de varias maneras, incluso empleando ataques de phishing y cadena de suministro, y a través de ataques a la infraestructura que involucran compromisos de claves privadas o frases iniciales.
Ciberataques que requieren un gran conocimiento del ecosistema criptográfico, los sistemas utilizados, así como las vulnerabilidades de estos y sus operadores. TRM Labs, dice en su informe que “estos tipos de ataques a menudo están habilitados por operaciones cibernéticas convencionales y permiten a los atacantes incautar y transferir las criptomonedas a las billeteras que controlan”.
Por otro lado, el informe advierte que, así como los cibercriminales norcoreanos han evolucionado en sus objetivos y técnicas con el tiempo, también lo han hecho sus metodologías de lavado en cadena.
De acuerdo con la investigación realizada por TRM Labs, al principio, los ciberdelincuentes norcoreanos utilizaron los criptointercambios de criptomonedas para lavar el dinero obtenido por sus ciberataques.
Sin embargo, ante las múltiples sanciones de la Oficina de Control de Activos Extranjeros (OFAC, «por sus siglas en inglés»), perteneciente al Departamento del Tesoro de los Estados Unidos, que han sido más agresivas, además de contar con un enfoque de aplicación de la ley y capacidades de rastreo mejorados, los ciberdelincuentes norcoreanos han evolucionado en su esquema de lavado.
TRM Labs, dice que ahora presentan procesos de lavado de dinero de múltiples etapas altamente complejos y para ello, mostraron como el lavado del dinero robado tras el ciberataque realizado al proveedor de billetera sin custodia Atomic Wallet, ejemplifica esta evolución.
El pasado 3 de junio de 2023, los cibercriminales de Corea del Norte realizaron un ciberataque a los usuarios de Atomic Wallet, que dio un jugoso botín de casi 100 millones de dólares en criptomonedas, provenientes de más de 4.100 direcciones individuales.
Los investigadores piensan, que por la naturaleza del ciberataque a Atomic Wallet, es muy probable que el exploit se haya llevado a cabo a través de un ataque de phishing o de cadena de suministro, el cual dejó a los ciberatacantes vaciar las billeteras de las víctimas en las blockchain de Ethereum, Tron, Bitcoin, XRP, DOGE, Stellar y Litecoin.
Posteriormente, los cibercriminales enviaron todos los fondos recolectados a una serie de direcciones recién creadas que estaban bajo su control, para poder ser movidos con facilidad dentro del ecosistema.
Más adelante, intercambiaron todos los tokens ERC-20 y TRC-20 por activos nativos en ether (ETH) y tron (TRX) a través de criptointercambios descentralizados (DEX). Luego estos activos fueron lavados “mediante una variedad de técnicas complejas, incluido el uso de programas de software automatizados, mezcladores e intercambios entre cadenas”, indica el informe de TRM Labs.
Es por ello, que la empresa de inteligencia de blockchain, piensa que estos cibercriminales operan descaradamente sin temor a ser atrapados, porque lo hacen casi exclusivamente dentro de Corea del Norte.
Por último, los ciberatacantes norcoreanos, tras agotar las billeteras de alto valor, envían los fondos lavados directamente a criptointercambios centralizados “en una carrera para liberar los fondos”. Una vez que se descubre el ciberataque, los cibercriminales mueven los fondos a través de una serie de técnicas de lavado más complejas, cuyas etapas se han visualizado en el software TRM Forensics de la empresa.
Si bien es cierto, que TRM Labs había informado de una disminución en los ciberataques durante el primer trimestre de 2023 al igual que otras empresas de análisis blockchain, esto ha sido atribuido a las sanciones impuestas al mezclador de Ethereum Tornado Cash en agosto del año pasado.
Finalmente, TRM Labs aclaró que en la misma forma que Corea del Norte continúa realizando ciberataques al creciente ecosistema de las criptomonedas, “la capacidad de rastrear los fondos robados es más crítica que nunca y, a medida que evolucionan las metodologías de lavado de Corea del Norte, también deben hacerlo las herramientas en las que confían los investigadores”.
No cabe duda, que realmente es una batalla en Internet entre las fuerzas de orden, empresas de investigación blockchain y los cibercriminales de norcoreanos y otras partes del mundo. No obstante, cualquier persona que trabaje en la criptoindustria debe saber que es un objetivo de los cibercriminales y que su actividad en línea siempre es de alto riesgo, por lo que deben observar buenas prácticas del uso y navegación de Internet.