Introducción
Los grupos de hackers norcoreanos están aprovechando la atracción del trabajo freelance en tecnología de la información (TI) para acceder a sistemas en la nube y robar criptomonedas por un valor de millones de dólares, según investigaciones independientes de Google Cloud y la firma de seguridad Wiz.
Informe de Amenazas en la Nube
El Informe de Amenazas en la Nube de Google Cloud para el segundo semestre de 2025 revela que el Grupo de Inteligencia de Amenazas de Google está «siguiendo activamente» a UNC4899, una unidad de hackers norcoreanos que logró hackear con éxito a dos empresas tras contactar a empleados a través de redes sociales.
En ambos casos, UNC4899 asignó tareas a los empleados que resultaron en que estos ejecutaran malware en sus estaciones de trabajo, lo que permitió al grupo de hackers establecer conexiones entre sus centros de comando y control y los sistemas en la nube de las empresas objetivo.
Robo de Criptomonedas
Como resultado, UNC4899 pudo explorar los entornos en la nube de las víctimas, obteniendo credenciales y finalmente identificando a los hosts responsables de procesar transacciones de criptomonedas. Aunque cada incidente apuntó a diferentes empresas (no nombradas) y diferentes servicios en la nube (Google Cloud y AWS), ambos resultaron en el robo de varios millones en criptomonedas.
Estrategias de los Hackers
El uso de ofertas de trabajo falsas por parte de los hackers norcoreanos es ahora «bastante común y generalizado», reflejando un considerable grado de sofisticación, afirmó Jamie Collier, Asesor Principal de Inteligencia de Amenazas para Europa en el Grupo de Inteligencia de Amenazas de Google, en una entrevista con Decrypt.
«Frecuentemente se hacen pasar por reclutadores de empleo, periodistas, expertos en la materia o profesores universitarios al contactar a los objetivos», agregó, señalando que a menudo se comunican varias veces para construir una relación con los mismos.
Uso de Tecnología Avanzada
Collier explica que los actores de amenazas norcoreanos fueron de los primeros en adoptar rápidamente nuevas tecnologías como la inteligencia artificial (IA), que utilizan para producir «correos electrónicos más convincentes para construir relaciones» y para escribir sus scripts maliciosos.
Campañas de UNC4899
La firma de seguridad en la nube Wiz también informa sobre las hazañas de UNC4899, que es conocida por los nombres TraderTraitor, Jade Sleet y Slow Pisces. TraderTraitor representa un tipo de actividad de amenaza en lugar de un grupo específico, con las entidades respaldadas por Corea del Norte, como Lazarus Group, APT38, BlueNoroff y Stardust Chollima, detrás de las típicas explotaciones de TraderTraitor, según Wiz.
Impacto Financiero
En su análisis de UNC4899/TraderTraitor, Wiz señala que las campañas comenzaron en 2020 y que desde el principio, los grupos de hackers responsables utilizaron ofertas de trabajo falsas para inducir a los empleados a descargar aplicaciones maliciosas de criptomonedas, construidas en JavaScript y Node.js utilizando el marco Electron.
La campaña del grupo de 2020 a 2022 «vulneró con éxito a múltiples organizaciones», según Wiz, incluyendo la violación de 620 millones de dólares del Lazarus Group en la Red Ronin de Axie Infinity.
Conclusiones
En última instancia, tal inversión ha permitido a Corea del Norte convertirse en un líder en el hackeo de criptomonedas, con un informe de TRM Labs de febrero que concluye que el país representó el 35% de todos los fondos robados el año pasado. Los expertos han señalado que todas las señales disponibles sugieren que el país probablemente seguirá siendo un actor en el hackeo relacionado con criptomonedas durante algún tiempo.
«Los actores de amenazas norcoreanos son una fuerza dinámica y ágil que se adapta continuamente para cumplir con los objetivos estratégicos y financieros del régimen», afirmó Collier de Google.
Reiterando que los hackers norcoreanos están utilizando cada vez más la IA, Collier explicó que tal uso permite una «multiplicación de fuerzas», lo que a su vez ha permitido a los hackers escalar sus explotaciones. «No vemos evidencia de que estén desacelerando y anticipamos que esta expansión continuará», concluyó.
