Hackers Norcoreanos Vinculados al Robo de 305 Millones de Dólares en Bitcoin de DMM, Confirman las Autoridades

El FBI, la Agencia Nacional de Policía de Japón y el Centro de Delitos Cibernéticos del Departamento de Defensa han identificado a los hackers vinculados con Corea del Norte como los orquestadores de un ciberataque de 305 millones de dólares en la casa de cambio de criptomonedas japonesa DMM Bitcoin en mayo de 2024.

Un comunicado conjunto emitido el 23 de diciembre atribuye la brecha al grupo de amenazas TraderTraitor, también conocido como Jade Sleet, UNC4899 y Slow Pisces.

Hacker News explica que TraderTraitor, activo desde al menos 2020, es conocido por atacar a empresas Web3 a través de aplicaciones de criptomonedas cargadas de malware. El grupo a menudo emplea campañas de ingeniería social temáticas de empleo o finge colaborar en proyectos de GitHub para desplegar paquetes npm maliciosos y facilitar el robo.

Las autoridades revelaron que la brecha en DMM Bitcoin se originó a partir de un ataque de ingeniería social a Ginco, una empresa japonesa de software para billeteras criptográficas. En marzo, un operativo norcoreano que se hizo pasar por un reclutador de LinkedIn compartió un script malicioso de Python disfrazado de prueba pre-empleo con un empleado de Ginco.

Cuando el empleado copió el script a su cuenta personal de GitHub, expuso datos sensibles de cookies de sesión, permitiendo al hacker hacerse pasar por el empleado e infiltrarse en el sistema de comunicación de Ginco.

Para mayo, el actor de la amenaza utilizó su acceso para manipular una solicitud de transacción legítima de un empleado de DMM Bitcoin, robando finalmente 4,502.9 BTC, valorados en $305 millones.

La empresa de inteligencia en blockchain Chainalysis corroboró los hallazgos, explicando cómo los atacantes explotaron las vulnerabilidades de la infraestructura para desviar fondos.

Lavaron la criptomoneda robada a través de direcciones intermediarias, un servicio de mezcla de Bitcoin CoinJoin, y servicios de puente antes de transferirla a HuiOne Guarantee, un mercado en línea vinculado al Grupo HuiOne de Camboya, un conocido facilitador de delitos cibernéticos.

Finance Feeds informa que DMM Bitcoin ha anunciado planes para cesar sus operaciones, llegando a un acuerdo con SBI VC Trade, la división de criptomonedas del gigante financiero japonés SBI Group, para transferir sus activos y cuentas de clientes antes de marzo de 2025.

Finance Feeds también señala que DMM Bitcoin aclaró que, aunque los activos en custodia se están transfiriendo a SBI, las posiciones de trading con apalancamiento no estarán incluidas. Los clientes deben liquidar todas las posiciones abiertas antes de la transferencia. La bolsa confirmó que se cerrará una vez que se complete la transferencia.

Esta revelación destaca los constantes riesgos de ciberseguridad en el sector Web3, con TraderTraitor manteniéndose como una amenaza persistente que apunta al panorama global de las criptomonedas.