Resumen de la Infiltración de Hackers Norcoreanos
¿Cómo lograron los hackers norcoreanos infiltrarse en entornos en la nube para robar criptomonedas? Según el Informe de Horizontes de Amenazas en la Nube H2 2025 de Google Cloud, el equipo de Inteligencia de Amenazas de la compañía está monitoreando a UNC4899, un grupo de hackers vinculado a Corea del Norte, acusado de violar dos organizaciones tras iniciar contacto con empleados a través de plataformas de redes sociales.
«Activo desde al menos 2020, UNC4899 se dirige principalmente a las industrias de criptomonedas y blockchain y ha demostrado una capacidad sofisticada para ejecutar compromisos complejos en la cadena de suministro».
Detalles de los Ataques
El documento señala que entre el tercer trimestre de 2024 y el primer trimestre de 2025, la firma de ciberseguridad Mandiant respondió a dos incidentes separados vinculados a UNC4899, afectando el entorno de Google Cloud de una organización y el entorno de AWS de otra. Si bien las etapas inicial y final de las intrusiones compartieron tácticas comunes, los métodos utilizados durante las fases intermedias variaron, reflejando probablemente diferencias en las arquitecturas de sistema de las víctimas.
En la etapa inicial de estos ataques, los hackers establecieron contacto con las víctimas a través de plataformas de redes sociales, una a través de Telegram y la otra a través de LinkedIn, haciéndose pasar por reclutadores de desarrollo de software independientes. Los empleados objetivo fueron luego dirigidos, sin saberlo, a ejecutar contenedores Docker maliciosos en sus estaciones de trabajo. Esta acción activó el despliegue de malware, incluidos descargadores como GLASSCANNON y cargas secundarias como las puertas traseras PLOTTWIST y MAZEWIRE, lo que finalmente permitió a los atacantes conectarse a sus servidores de comando y control (C2).
«En ambos casos, UNC4899 realizó varias actividades de reconocimiento interno en los hosts y entornos conectados de las víctimas, antes de obtener materiales de credenciales que utilizaron para pivotar hacia los entornos en la nube de las víctimas».
Uso de Ofertas de Trabajo Falsas
Los hackers norcoreanos han confiado cada vez más en ofertas de trabajo falsas para infiltrarse en empresas. En julio, el Tesoro de EE. UU. sancionó a Song Kum Hyok por supuestamente dirigir un esquema que colocaba a trabajadores de TI norcoreanos disfrazados en empresas estadounidenses para generar ingresos para la República Popular Democrática de Corea (RPDC). Estos trabajadores, a menudo basados en China o Rusia, usaban identidades y nacionalidades falsas, sin que los empleadores fueran conscientes del engaño.
La Importancia de la Descentralización
A medida que las amenazas globales empujan a las plataformas de criptomonedas a reforzar la seguridad, esto es un poderoso recordatorio de por qué los ecosistemas descentralizados y dirigidos por la comunidad, como Shibarium, son importantes. A diferencia de las configuraciones tradicionales vulnerables a explotaciones centralizadas, la infraestructura abierta de Shibarium empodera a los desarrolladores para construir con transparencia, resiliencia y confianza en el núcleo.
Esta descentralización no solo dificulta que actores maliciosos, como grupos de hackers respaldados por estados, obtengan acceso, sino que también permite una detección y respuesta más rápida cuando surgen vulnerabilidades. A medida que el espacio de criptomonedas enfrenta un aumento de riesgos cibernéticos, ecosistemas como Shibarium enfatizan un camino diferente hacia adelante, uno arraigado en la descentralización, la transparencia y un compromiso compartido para construir herramientas que sirvan, no exploten, a las personas.
Otros Incidentes Relacionados
Actores de Amenaza Norcoreanos Usan Malware NimDoor para Atacar Dispositivos Apple. El Grupo Lazarus de Corea del Norte Vinculado a un Nuevo Robo de Criptomonedas de $3.2M. Hackers Norcoreanos Roban Miles de Millones en Criptomonedas Mientras Se Hacen Pasar por VCs!
