Informe 2025 sobre la criptodelincuencia: Vea las tendencias clave que dieron forma al mercado ilícito de criptomonedas durante el año pasado. Leer el informe

Soluciones
Aprenda
Empresa
Solicitar una demostración
en
Buscar en
Buscar en
24 de febrero de 2022

Principales conclusiones del informe del CNAS sobre los ciberataques norcoreanos

TRM Insights
Principales conclusiones del informe del CNAS sobre los ciberataques norcoreanos

El CNAS publica un informe sobre el seguimiento de la criptomoneda en los ciberataques de Corea del Norte

La semana pasada, el Center for a New American Security (CNAS) publicó un documento titulado "Following the Crypto: Using Blockchain Analysis to Assess the Strengths and Vulnerabilities of North Korean Hackers". El informe, elaborado en colaboración con TRM, se centra en la forma en que Corea del Norte ataca los negocios de criptodivisas y blanquea los fondos robados. Según el informe, "desde 2014, la organización de ciberdelincuentes dirigida por Pyongyang conocida como Lazarus Group ha pasado de ser un equipo de hackers sin escrúpulos a un ejército magistral de ciberdelincuentes y afiliados extranjeros, capaz de comprometer las principales redes financieras nacionales y robar cientos de millones de dólares en activos virtuales." Sabemos que Corea del Norte se ha lanzado al campo de batalla digital y que la criptomoneda es su objetivo. Sabemos que Corea del Norte utiliza sofisticadas técnicas de piratería informática y se basa en la ingeniería social para eludir los controles de ciberseguridad. Pero, ¿qué podemos aprender del informe sobre las formas en que los ciberdelincuentes de la RPDC blanquean los fondos robados?

Principales conclusiones:

  • Los ciberdelincuentes norcoreanos están atacando empresas de criptomoneda para financiar la proliferación de armas y otras actividades desestabilizadoras.
  • El objetivo de un ataque, y del blanqueo de dinero asociado al mismo, es convertir la criptomoneda robada en fiat utilizable, a menudo lo más rápidamente posible.
  • Los ciberdelincuentes norcoreanos se han vuelto más sofisticados a la hora de blanquear fondos robados con cada pirateo que perpetran. Ahora suelen **utilizar múltiples servicios de mezcla y otras técnicas de ofuscación, aunque siguen cometiendo errores que pueden ser aprovechados por las fuerzas del orden.

Corea del Norte ataca cada vez más a las empresas de criptomonedas

Los ciberdelincuentes norcoreanos están llevando a cabo ciberataques contra empresas de criptomoneda a una velocidad y escala sin precedentes. De hecho, como se comenta en **una reciente entrada del blog de TRM, el infame Grupo Lazarus ha estado ejecutando una sofisticada estrategia para atacar a pequeñas y medianas empresas de criptomonedas en una campaña llamada "SnatchCrypto." Según un informe de la empresa de ciberseguridad Kaspersky, los operadores norcoreanos están acechando y estudiando las startups de criptomoneda exitosas para llevar a cabo estos ataques.

Los ataques contra las bolsas de criptomonedas y otras empresas no son nuevos. Según Nick Carlsen, antiguo experto FBI en Corea del Norte y ahora parte del equipo de Investigaciones Globales de TRM, "Corea del Norte está, en la mayoría de los aspectos, aislada del sistema financiero global por una larga campaña de sanciones por parte de Estados Unidos y socios extranjeros. Como resultado, se han lanzado al campo de batalla digital para robar criptomonedas. Estas campañas son esencialmente robos bancarios a la velocidad de Internet, y se han utilizado para financiar programas de armamento, proliferación nuclear y otras actividades desestabilizadoras."

Los incentivos económicos para que Corea del Norte ignore las normas internacionales y continúe con estos robos son poderosos. En los últimos años, estos robos han generado cientos de millones de dólares de puro beneficio. Estos ingresos representan una parte enorme de los ingresos totales en divisas de Corea del Norte, especialmente en el periodo posterior a COVID, de mayor aislamiento comercial. Estas operaciones suelen durar meses, y los hackers observan cuidadosamente las actividades del objetivo y esperan hasta el momento oportuno para atacar.

A diferencia de sus homólogos en otras partes del mundo, los hackers norcoreanos no se enfrentan a ninguna amenaza real de detención o extradición y pueden asumir riesgos que serían inimaginables para otros. Por ejemplo, mientras les vemos utilizar servicios de mezcla, intercambios no conformes y otras técnicas de ofuscación en la cadena, muchas veces Lazarus simplemente moverá los fondos al descubierto lo más rápido posible. La clave para los ladrones de criptomonedas norcoreanos es una ofuscación lo suficientemente buena como para permitirles convertir las criptomonedas en dinero fiduciario con la suficiente rapidez y seguridad como para evitar que las bolsas o las fuerzas del orden las intercepten. Entonces, ¿cómo puede una bolsa de criptomonedas que cumple las normas frustrar esta amenaza? Si la bolsa, a través de su herramienta Inteligencia en Blockchain , etiqueta una dirección como controlada por un hacker, la bolsa puede filtrar y rechazar transacciones desde esa dirección. En un escenario tan cambiante como un ciberataque, los investigadores de las bolsas suelen compartir datos para crear listas negras de direcciones vinculadas a piratas informáticos prácticamente en tiempo real.

Los ciberdelincuentes de la RPDC prefieren la velocidad a la ofuscación

En un hackeo de abril de 2018 de Gate.io -un caso en el que el Department of Justice de Estados UnidosDOJ) acusó y presentó una acción de confiscación civil contra los ciberdelincuentes de la RPDC-, los hackers norcoreanos robaron casi 230 millones de dólares en criptoactivos. En este hackeo específico, los actores norcoreanos programaron "scripts automatizados para blanquear y reconsolidar rápidamente los fondos robados en intercambios antes de transferirlos a billeteras afiliadas a Lazarus", lo que fue evidente debido al gran número de transacciones simultáneas. Aunque vimos la automatización y otras técnicas de ofuscación como las cadenas de pelado -una serie de transacciones más pequeñas de dispersión seguidas de consolidación con el fin de ofuscar transacciones más grandes-, la verdadera clave de esta operación era pasar la criptomoneda a moneda fiduciaria lo más rápido posible, incluso a expensas de una posible atribución futura al hackeo.

La clave para Lazarus es, como se ha demostrado en repetidas ocasiones, convertir rápidamente los fondos en fiat, que puede utilizarse para financiar el régimen y sus actividades desestabilizadoras. Lazarus sólo parece emplear la ofuscación necesaria para lograr ese objetivo. En el hackeo de KuCoin, posiblemente el más sofisticado de los tres hackeos estudiados en este informe, "los hackers norcoreanos optaron por no utilizar las funciones de conservación del anonimato de Tornado Cash, que habrían requerido una comisión por transacción, probablemente porque buscaban mantener la mayor cantidad de Ethereum robado para su eventual liquidación".

Los ciberdelincuentes norcoreanos se han vuelto más sofisticados con el tiempo

Desde el ataque de 2018, los ciberdelincuentes norcoreanos se han vuelto más sofisticados en el blanqueo en cadena. Estas mejoras se produjeron en paralelo con la creciente sofisticación de los investigadores estadounidenses y Analítica de blockchain - y probablemente fueron impulsadas por ellos. En el hack de DragonEx de 2019, Lazarus "canalizó los criptoactivos robados a través de servicios de mezcla, lo que sugiere un mayor conocimiento del entorno de las criptodivisas y sus herramientas." Mientras que Lazarus gastó un esfuerzo sustancial para anonimizar el BTC robado en el hack de DragonEx, otros activos, incluidos Ethereum y TRON, se blanquearon solo en un grado mínimo.

Esta tendencia continuó con el hackeo de KuCoin en 2020, que supuso el robo de 280 millones de dólares en diversas criptomonedas. Según el informe, "el blanqueo de los activos robados de KuCoin fue muy diferente al de operaciones anteriores de Lazarus. En lugar de los esfuerzos de ofuscación parcialmente desordenados durante las intrusiones anteriores, esta vez los hackers norcoreanos mostraron más rigor mediante el empleo de varias técnicas avanzadas para tratar de ocultar exhaustivamente su actividad." En concreto, el informe explica que el Grupo Lazarus utilizó tres servicios de mezcla -incluido Tornado Cash- para lavar los fondos robados y empleó protocolos de finanzas descentralizadasDeFi) para ofuscar el flujo de fondos en cadena.

Incluso los ciberdelincuentes norcoreanos entrenados cometen errores , y no pasa nada (para ellos)

Aunque cada uno de los ataques logró robar criptomoneda, se cometieron errores que podrían ser instructivos para las fuerzas de seguridad y las empresas de criptomoneda, y está claro que los actores de la RPDC están relativamente más avanzados en la piratería informática que en el blanqueo de fondos. Inteligencia en Blockchain de TRM también indicó que los actores de la RPDC estaban dispuestos a cobrar activos que no fueran BTC ni ETH sin anonimizar completamente sus transacciones, evitando los servicios de mezcla y utilizando sólo métodos simples para intentar liquidar los fondos. Incluso en el hackeo más sofisticado de KuCoin, los actores de la RPDC optaron por no utilizar determinadas funciones de anonimización de Tornado Cash y, como resultado, "los investigadores pudieron vincular las retiradas posteriores a Tornado y, dada la magnitud del robo de KuCoin, conectarlas en última instancia con el hackeo original."

Conclusión

El informe del CNAS es significativo en el sentido de que proporciona un análisis de los hackeos, pero también aprovecha la TRM para seguir y rastrear el flujo de fondos con el fin de dar color, no sólo al hecho de que los actores norcoreanos blanquean fondos, sino a cómo lo hacen a través de una red de técnicas de blanqueo de dinero en cadena cada vez más sofisticadas. Aun así, el objetivo es sencillo: trasladar los fondos robados de la bolsa pirateada a dinero fiduciario utilizable lo antes posible. Mientras los ciberdelincuentes de la RPDC, y el régimen que los controla, no se enfrenten a consecuencias reales por estos robos, seguiremos viendo cómo proliferan. Sin embargo, la naturaleza del blockchain permite a los investigadores seguir y rastrear el flujo de fondos, lo que da lugar a una carrera hacia las rampas de salida. A medida que los ciberdelincuentes de la RPDC se vuelven más sofisticados, también lo hacen las herramientas de Inteligencia en Blockchain de nueva generación y los investigadores que las utilizan.

Esto es un texto dentro de un bloque div.
Suscríbase y manténgase al día de nuestras novedades
flecha derecha
20 de enero de 2022

Las amenazas norcoreanas siguen apuntando a las empresas de criptomonedas

flecha derecha
18 de febrero de 2021

Cuidado con lo que descargas: Cómo evitar un ciberataque de Corea del Norte

flecha derecha
8 de febrero de 2022

Detenidos hoy en Nueva York los sospechosos acusados de blanquear fondos robados a Bitfinex en 2016

Acceda a nuestra cobertura de TRON, Solana y otras 23 blockchains

Rellene el formulario para hablar con nuestro equipo sobre los servicios profesionales de investigación.

Servicios de interés
Seleccione
Transaction Monitoring/Wallet Screening
Servicios de formación
Servicios de formación
 
Al hacer clic en el botón siguiente, acepta la política de privacidad deTRM Labs .
Muchas gracias. Hemos recibido su envío.
¡Uy! Algo ha ido mal al enviar el formulario.
No se han encontrado artículos.
Ilustración de delito de criptomoneda sobre fondo azul oscuro con símbolos de blockchain en azul brillante y blanco (incluidos Bitcoin y TRON), gráficos financieros y un icono de hacker.
INFORME
Informe 2025 sobre la criptodelincuencia: Explore cómo evolucionó el panorama de la criptodelincuencia en el último año
DIG IN NOW →
Cables de fibra óptica azul brillante sobre fondo azul oscuro, con destellos de chispas blancas intercaladas.
INFORME
A medida que la tecnología de IA se vuelve más sofisticada, también lo hacen las formas en que los delincuentes la utilizan. Vea lo que hace TRM para combatir la delincuencia basada en IA.
LUCHA AI CON AI →
Ilustración de delito de criptomoneda sobre fondo azul oscuro con símbolos de blockchain en azul brillante y blanco (incluidos Bitcoin y TRON), gráficos financieros y un icono de hacker.
INFORME
El panorama de la criptodelincuencia experimentó cambios significativos en 2024, incluyendo descensos en los volúmenes ilícitos. Profundiza en los datos aquí.
VISTA PREVIA DEL INFORME SOBRE DELITOS CRIPTOGRÁFICOS →
Tablero de corcho con fotografías de Heather "Razzlekhan" Morgan e Ilya Lichtenstein, con sus nombres escritos a mano debajo de sus fotos y chinchetas en el tablero conectadas por una cuerda roja.
DOCUMENTAL
Transmite “El atraco más grande de la historia” y mira detrás de escena al equipo de TRM
ÉCHALE UN VISTAZO →
Un círculo bidimensional azul claro (que representa una moneda estable) flotando sobre líneas curvas de color azul oscuro y blanco (que representan ondas), con finas líneas punteadas de color azul y blanco en lo alto para representar el viento.
INFORME
Explore las tendencias macro y los desarrollos jurisdiccionales que dieron forma al panorama de políticas criptográficas globales en 2024
LEA EL INFORME →
Ilustración sobre un fondo azul oscuro que muestra un insecto y un signo de exclamación (que representa una actividad ilícita), un globo terráqueo con puntas de alfiler, una moneda y un gráfico de barras.
INFORME
Vea los países con las tasas más altas de adopción de criptomonedas y las tasas más altas de exposición a actividades ilícitas
LEA EL INFORME AHORA →
Un rectángulo azul con formas geométricas en el fondo y puntos conectados por líneas finas en primer plano, que representan conexiones en la cadena de bloques.
LIBRO BLANCO
Explore cuatro formas en que la TRM mejora el cumplimiento en la era moderna de aplicación de sanciones
Descargar el libro blanco →
Ilustración de un gráfico de pig butchering con varios logotipos de criptomonedas en cada sección, con una insignia de sheriff azul brillante en la parte superior, que simboliza el papel de las fuerzas del orden en la lucha contra el fraude.
CASO EJEMPLO
Vea cómo la ayudante del fiscal Erin West y el grupo de trabajo REACT están luchando contra la delincuencia organizada. pig butchering
VER EL VÍDEO →
Ilustración de un ojo, una calavera con huesos cruzados y un gráfico circular sobre fondo azul claro, que simboliza los peligros de las criptoestafas y el fraude financiero.
INFORME
Explora las tendencias clave que dieron forma a la criptoeconomía ilícita en 2023
OBTENER EL INFORME →
Primer plano del edificio del Capitolio de los Estados Unidos con nieve cayendo
BLOG
Sepa por qué la criptomoneda se ha convertido en un tema central de las elecciones estadounidenses de 2024
LEER EL POSTE
Ilustración de una muñeca rusa de juguete que contiene un ataque ransomware dentro de la más pequeña
INFORME
Profundice en el ecosistema de criptomonedas ilícitas de habla rusa
LEER EL INFORME COMPLETO
Contorno de cerdo con el escudo de las fuerzas del orden superpuesto
Caso práctico
Más información sobre la actuación del Grupo Operativo REACT pig butchering
Leer el Caso práctico
Ilustración de una muñeca rusa de juguete que contiene un ataque ransomware dentro de la más pequeña
INFORME
Explore las tendencias recientes de ransomware en el ecosistema criptográfico de habla rusa, incluido el papel de los grupos ransomware en la ciberdelincuencia en todo el mundo.
OBTENGA EL INFORME
Persona escribiendo en un teclado de ordenador portátil con superposición azul oscuro filtrado
ENTRADA EN EL BLOG
Conozca la oleada de ataques a ransomware del verano de 2024 y la proliferación de RaaS en todo el mundo.
LEER EL POSTE
INFORME
Conozca el papel de las criptomonedas en el mercado internacional de precursores de drogas sintéticas
OBTENGA EL INFORME