Los Hackers Explotan Radiant Capital Con Malware, Roban $50M en El Asalto

Un PDF infectado con malware, enviado a los ingenieros de Radiant Capital, permitió a los hackers norcoreanos robar más de $50 millones.

En un reciente informe de seguimiento sobre la brecha, Radiant, con la ayuda de Mandiant, reveló más detalles. El 11 de septiembre de 2024, un desarrollador de Radiant recibió un mensaje de Telegram de un antiguo contratista que estaba siendo suplantado.

El mensaje, supuestamente de un excontratista, incluyó un enlace a un PDF comprimido. Supuestamente relacionado con un nuevo proyecto de auditoría de contratos inteligentes, el documento buscaba retroalimentación profesional.

El dominio asociado con el archivo ZIP imitó convincentemente el sitio web legítimo del contratista, y la solicitud pareció rutinaria en círculos profesionales. Los desarrolladores suelen intercambiar PDFs para tareas como revisiones legales o auditorías técnicas, lo que reduce la sospecha inicial.

Confiando en la fuente, el destinatario compartió el archivo con los colegas, estableciendo sin querer el escenario para el robo cibernético.

Sin que el equipo Radiant lo supiera, el archivo ZIP contenía INLETDRIFT, un malware de macOS avanzado camuflado dentro del documento “legítimo”. Una vez activado, el malware estableció una puerta trasera persistente, utilizando un AppleScript malicioso.

El diseño del malware era sofisticado, mostrando un convincente PDF a los usuarios mientras operaba sigilosamente en segundo plano.

A pesar de las rigurosas prácticas de ciberseguridad de Radiant, que incluyen simulaciones de transacciones, verificación de cargas útiles y adhesión a los procedimientos operativos estándar (SOPs) de la industria, el malware logró infiltrarse y comprometer múltiples dispositivos de desarrolladores.

Las atacantes aprovecharon la firma ciega y las interfaces de front-end falsificadas, mostrando datos de transacciones benévolas para enmascarar actividades maliciosas. Como resultado, se ejecutaron transacciones fraudulentas sin detección.

En preparación para el robo, las atacantes implementaron contratos inteligentes maliciosos en múltiples plataformas, incluyendo Arbitrum, Binance Smart Chain, Base y Ethereum. Tan solo tres minutos después del robo, borraron los rastros de su puerta trasera y extensiones de navegador.

El atraco se ejecutó con precisión: apenas tres minutos después de transferir los fondos robados, los atacantes eliminaron rastros de su puerta trasera y extensiones de navegador asociadas, complicando aún más el análisis forense.

Mandiant atribuye el ataque a UNC4736, también conocido como AppleJeus o Citrine Sleet, un grupo vinculado a la Oficina General de Reconocimiento (RGB) de Corea del Norte. Este incidente resalta las vulnerabilidades en la firma ciega y las verificaciones frontales, enfatizando la necesidad urgente de soluciones a nivel de hardware para validar las cargas de transacción.

Radiant está colaborando con las fuerzas del orden de EE. UU., Mandiant y zeroShadow para congelar los activos robados. El DAO sigue comprometido en apoyar los esfuerzos de recuperación y compartir conocimientos para mejorar los estándares de seguridad en toda la industria.