Centro Criptológico Nacional Un grupo vinculado a Corea del Norte, en el centro de una trama millonaria de robo de criptomoneda
El Centro Criptológico Nacional señala en su último informe que Corea del Norte es uno de los pocos estados que ha sido identificado ejecutando operaciones ligadas al beneficio económico directo
El nuevo informe del Centro Criptológico Nacional (CCN) sobre ciberamenazas pone el foco en uno de los principales problemas asociados al cibercrimen: el robo de criptomoneda. En el año 2021, se detectó un incremento de «malware de minado de criptomoneda» derivado del aumento de la cotización. Sin embargo, durante 2022 el CCN detectó una tendencia inversa.
«El número de muestras ha visto disminuido significativamente, pues en junio de 2022 el valor de Bitcoin cayó por debajo de 20.000 dólares por primera vez desde 2020, lo que supuso un duro golpe a la rentabilidad de las operaciones de cibercrimen dedicadas al minado de criptomoneda», explica el Centro. A continuación, aclara que, sin embargo, sí se ha detectado un aumento de campañas que han tenido como objetivo la criptomoneda, «destacando aquellas de Bluenoroff, de la cual se estima que pueden haberse robado más de 1.700 millones de dólares».
El CCN precisa que las acciones de cibercrimen por parte de grupos asociados al gobierno norcoreano no son una novedad, pero subraya que durante 2022 este tipo de operaciones «se han visto incrementadas sustancialmente». De hecho, «algunas investigaciones apuntan a que, durante 2022, un grupo llegó a robar más de 1.700 millones de dólares en criptomoneda».
El Centro recuerda que el Departamento de Justicia de los Estados Unidos llegó a acusar a tres personas de formar parte de una trama de blanqueo de dinero asociada a estos robos. «Todo apunta a que el grupo asociado con estas actividades es BlueNoroff, también conocido como APT38, y sería el grupo responsable de llevar a cabo acciones con motivación financiera dentro del RGB. Es necesario destacar que Corea del Norte es uno de los pocos estados que ha sido identificado ejecutando operaciones ligadas al beneficio económico directo (Operationally-motivated APT)», señala el meticuloso y detallado estudio.
BlueNoroff estaría llevando a cabo ataques de tipo spearphishing (en esencia, ataques de suplantación de identidad (phishing) selectivos) aunque también han contactado directamente con las víctimas a través de LinkedIn, WhatsApp, Discord o Twitter, del mismo modo que Lazarus. «Un ejemplo —explica el estudio— es la utilización de ficheros Word para el acceso Inicial. Además, dentro de ficheros .iso o .vhd se dropean binarios legítimos o scripts legítimos, como son mshta, rundll32 o SyncAppvPublishingServer.vbs, ejecutando técnicas de bypass MOTW».