¿Quién está detrás de Lazarus Group? Los ciberdelincuentes responsables del hackeo de Bybit

Las criptomonedas se han convertido en un negocio lucrativo no solo para las empresas vinculadas a ellas o para los inversores que apuestan por estos activos: son una mina de oro especialmente para los hackers. En 2024, robaron 2.200 millones de dólares, un 17% más respecto a 2023, según TRM Labs. Las firmas de análisis destacan la sofisticación de los ataques y la magnitud de los importes robados, cada vez más elevados. Y alertan sobre un actor en específico, que se ha convertido en una pesadilla para el mercado cripto: Lazarus Group, un grupo de cibercriminales de Corea del Norte respaldados por Pyongyang. “Lazarus Group es Corea del Norte, y Corea del Norte es Lazarus Group”, señala TRM Labs en un informe. Su último ataque fue el hackeo del exchange Bybit el pasado 21 de febrero, del que se robó más de 1.500 millones de dólares en tokens de ethereum: para ponerlo en contexto, el tamaño promedio de los incidentes el año pasado fue de 14 millones de dólares.

La Oficina Federal de Investigaciones (FBI) de Estados Unidos confirmó este jueves en un comunicado que la República Popular Democrática de Corea fue responsable de ese ataque. Los atacantes son viejos conocidos de la industria y de las autoridades. La misma FBI alertó sobre la amenaza persistente representada por este grupo patrocinado por Corea del Norte al menos desde 2020. Aunque su actividad empezó mucho antes: “Desde 2014, Lazarus Group ha pasado de ser un equipo de hackers renegados a un ejército sofisticado de ciberdelincuentes con afiliados extranjeros, capaz de comprometer importantes redes financieras nacionales y robar cientos de millones de dólares en activos virtuales”, explica Jason Bartlett, asistente de investigación en el Center for a New American Security.

A lo largo de estos años, Pyongyang ha demostrado un creciente interés en utilizar tecnologías incipientes, como las criptomonedas y la blockchain, para compensar las pérdidas fiscales sufridas por las sanciones económicas. Con las ganancias de sus ataques, además, financian el programa de armas nucleares y misiles balísticos de Corea del Norte. Tan solo en los ataques perpetrados desde 2021 hasta hoy, los hackers han sumado 5.000 millones de dólares, según estimaciones de TRM Labs. En un solo día, con el ataque de Bybit, casi duplicaron la cantidad sustraída en 2024 cuando fueron responsables de aproximadamente el 35% de todos los fondos robados, por unos 800 millones de dólares en criptomonedas. Un reciente estudio de Chainalysis eleva esta cifra a 1.340 millones de dólares.

Ataques sofisticados

Pyongyang ha intentado suplir el aislamiento económico derivado de las sanciones a través de actividades criminales de varios tipo: falsificación de dólares estadounidenses, tráfico de narcóticos, contrabando de cigarrillos, venta de armas. Los ciberataques llegaron después. Chainalysis fecha su aparición en 2009 aunque empezó a hablarse de Lazarus Group de forma más frecuente en 2014 con el hackeo de Sony Pictures, tras el estreno de The Interview, una película satírica sobre Kim Jong-un: paralizaron los sistemas de la empresa y robaron datos personales de famosos de Hollywood (como Angelina Jolie o Sylvester Stallone), información de empleados, se liberaron películas que no habían sido estrenadas y guiones inéditos.

Los incidentes siguieron con más constancia pero los sistemas de seguridad también iban evolucionando. Cuando los ataques tradicionales se volvieron más difíciles, viraron hacia nuevos objetivos más vulnerables: el naciente ecosistema de los intercambios de criptomonedas y las plataformas de finanzas descentralizadas. En abril de 2018, atacaron una plataforma de intercambio cripto anónimo —que TRM Labs afirma ser Gate.io— a través de una campaña de phishing enviada por correo electrónico a un empleado. Lazarus Group se hizo con casi 230 millones de dólares en activos digitales que intercambió rápidamente por moneda fiduciaria. La respuesta internacional fue mínima, porque la plataforma nunca denunció públicamente el incidente.

El exchange singapurense KuCoin también fue víctima de Grupo Lazarus. En septiembre de 2020 le sustrajeron más de 275 millones en activos digitales desde los hot wallets del intercambio, después de obtener acceso a claves privadas. Esta cantidad representó más de la mitad de todas las criptomonedas que se esfumaron ese año. Después del robo enviaron los fondos a mezcladores (una herramienta que mezcla los activos de varios usuarios) para ocultar su procedencia y utilizaron plataformas DeFi para blanquear una parte de ellos. El año pasado atacaron el exchange WazirX, en su momento el intercambio de criptomonedas más grande de la India, llevándose 235 millones de dólares, obligando la plataforma a solicitar un plan de reestructuración.

‘Modus operandi’

Con el tiempo, Lazarus Group ha ido perpetrando ataques más sofisticados y mejorando sus capacidades de blanquear el dinero en blockchain. Pero hay un patrón que se ha mantenido constante y que lo diferencia de los demás ciberdelicuentes: los hackers norcoreanos no se preocupan demasiado por el anonimato, a diferencia de otros atacantes. “Esta falta de temor a ser descubiertos probablemente se deba a la ausencia de represalias legales por sus actividades cibernéticas ilícitas. Hasta la fecha, solo un ciudadano norcoreano ha sido extraditado a EE UU por cargos de lavado de dinero”, avisa Bartlett.

Además, destaca que la mayoría de los ciberataques dirigidos por Corea del Norte tienen su origen en una campaña de phishing. El hackeo de Bybit también se generó de un phishing supersofisticado: apuntaron al proveedor de carteras de criptomonedas del exchange, utilizando un malware para obtener acceso a su ordenador. Los hackers diseñaron una interfaz falsa que replicaba perfectamente la de la plataforma. De esta manera, cuando los directivos de la empresa aprobaron una transacción para enviar ethereum de una billetera fría a una caliente, en realidad firmaron una transferencia ilícita, y los hackers desviaron los fondos hacia un wallet desconocido. Lo más alarmante para los expertos es que este ataque afectó a una billetera fría multi-firma, un sistema de almacenamiento de claves de criptomonedas sin acceso a internet considerado hasta ahora casi inmunes a los incidentes.

Este ataque, más allá de ser el más grave que ha sufrido la industria, pone en evidencia la velocidad con la que los atacantes están lavando los fondos: 48 horas después del ataque, al menos 160 millones de dólares fueron canalizados a través de canales ilícitos. Cinco días después habían movido 400 millones, con transferencias a través de otras billeteras, conversión de los fondos en diferentes criptomonedas y el uso de intercambios descentralizados y puentes entre cadenas para ofuscar su origen. “Esto sugiere que Corea del Norte ha expandido su infraestructura de blanqueo de capitales o que redes financieras clandestinas, particularmente en China, han mejorado su capacidad para absorber y procesar fondos ilícitos”, destaca TRM Labs. Los expertos señalan que en otros ataques este grupo utilizaba mezcladores de cripto para ocultar el origen de los fondos antes de convertirlos a moneda fiduciaria. No obstante, la enorme cantidad de activos sustraídos de Bybit y la mayor vigilancia sobre estas herramientas los llevaron a preferir otros métodos.

El uso frecuente de plataformas descentralizadas como Uniswap para mover los activos robados no es baladí: de hecho, permiten a los usuarios intercambiar un tipo de criptomoneda por otra sin que la plataforma custodie los fondos y, por ello, sin necesidad de tener información específica del usuario. Esto facilita la transferencias de activos sustraídos con mayor anonimato.

Tras el último ataque, parte de la industria se ha unido y varios exchanges han logrado congelar parte de los activos, unos 42 millones de dólares, un 3% del total sustraído. Mientras tanto, Bybit ha declarado una “guerra contra Lazarus” y ha lanzado una página web para rastrear las billeteras del grupo, buscando apoyo y ofreciendo recompensas para quien logre congelar los activos.