Es posible que te encuentres con clientes de alto patrimonio que son posiblemente "mercenarios" para los hackers norcoreanos

Autor original: Nicky, Foresight News

Recientemente, Drift Protocol publicó los últimos resultados de la investigación sobre el incidente de ataque, indicando que esta operación fue llevada a cabo por el mismo actor de amenaza involucrado en el incidente de hackeo de Radiant Capital en octubre de 2024, con un alto grado de similitud en los flujos de fondos en cadena y métodos operativos. La firma de seguridad Mandiant atribuyó el ataque a Radiant Capital a UNC4736, una organización vinculada al gobierno norcoreano.

Después del ataque a Drift, los hackers han acumulado 130,293 ethereum-eth-143">ETH, valorados en aproximadamente 266 millones de dólares. El incidente afectó a 20 protocolos, incluyendo Prime Numbers Fi, Gauntlet, Elemental DeFi, Project 0, entre otros. Prime Numbers Fi estimó pérdidas que superan los 10 millones de dólares, Gauntlet alrededor de 6.4 millones, Neutral Trade alrededor de 3.67 millones, y Elemental DeFi alrededor de 2.9 millones, con Elemental expresando esperanzas de recibir una compensación parcial de Drift.

Drift declaró que el ataque fue una operación meticulosamente planificada que duró seis meses. En otoño de 2025, un grupo que afirmaba ser una empresa de trading cuantitativo se acercó a los contribuyentes de Drift en una importante conferencia de criptomonedas. Según la cronología, las principales conferencias de criptomonedas durante este período incluyeron la Korea Blockchain Week 2025 (del 22 al 28 de septiembre de 2025, celebrada en Seúl), TOKEN2049 Singapur (del 1 al 2 de octubre de 2025, celebrada en Singapur), Binance Blockchain Week Dubái 2025 (del 30 al 31 de octubre de 2025, celebrada en Dubái), y Solana Breakpoint Dubái (del 20 al 21 de noviembre de 2025, celebrada en Dubái).

Los funcionarios de Drift afirmaron que eran técnicamente competentes, tenían antecedentes profesionales verificables y estaban muy familiarizados con las operaciones de Drift. Ambas partes establecieron un grupo de Telegram y mantuvieron discusiones sustantivas sobre estrategias de trading e integración de tesorería durante los meses siguientes.

Desde diciembre de 2025 hasta enero de 2026, este grupo se asentó oficialmente en una tesorería ecológica en Drift, completando formularios de detalle de estrategia según lo requerido. Mantuvieron múltiples discusiones de trabajo con varios contribuyentes, plantearon problemas detallados de productos y depositaron más de 1 millón de dólares de sus propios fondos. A través de operaciones pacientes y ordenadas, establecieron una presencia empresarial completamente funcional dentro del ecosistema de Drift.

Las discusiones de integración continuaron hasta marzo de este año. Varios contribuyentes de Drift se reunieron cara a cara con estas personas nuevamente en diversas conferencias internacionales. Para este momento, ambas partes habían establecido una relación cooperativa de casi seis meses, y la otra parte ya no era un extraño, sino un socio con el que habían trabajado. Durante este periodo, compartieron enlaces a proyectos, herramientas y aplicaciones que afirmaron estar construyendo, lo cual es una práctica común entre las empresas de trading.

Tras el ataque del 2 de abril, los investigadores realizaron un exhaustivo examen forense de los dispositivos, cuentas y registros de comunicación afectados, siendo las interacciones con este equipo de trading el camino de intrusión más probable. En el momento del ataque, los registros de chat de Telegram de la otra parte y el malware habían sido completamente eliminados.

La investigación reveló que los atacantes pueden haber infiltrado los dispositivos de los contribuyentes de Drift a través de tres métodos. Un contribuyente puede haber sido comprometido tras clonar el repositorio de código compartido por el equipo, que estaba disfrazado como la interfaz para desplegar su tesorería. Otro contribuyente fue atraído a descargar una aplicación de TestFlight, que la otra parte afirmaba que era su producto de billetera. Respecto al camino de infiltración del repositorio de código, la comunidad de seguridad había advertido repetidamente desde diciembre de 2025 hasta febrero de 2026 sobre vulnerabilidades conocidas en VSCode y Cursor, donde simplemente abrir un archivo, carpeta o repositorio en el editor podría ejecutar silenciosamente código arbitrario sin clics del usuario ni ningún aviso. Un análisis forense completo del hardware afectado aún está en curso.

Esta operación está vinculada al mismo actor de amenaza involucrado en el incidente de hackeo de Radiant Capital en octubre de 2024. Mandiant atribuyó el ataque a Radiant a UNC4736, una organización patrocinada por el estado de Corea del Norte, también conocida como AppleJeus o Citrine Sleet. La atribución se basa en dos aspectos: los flujos de fondos en cadena indican que los fondos utilizados para planear y probar esta operación pueden rastrearse hasta los atacantes de Radiant; operativamente, los disfraces utilizados en esta acción muestran superposiciones identificables con actividades conocidas relacionadas con Corea del Norte.

Drift señaló que las personas que aparecieron en las reuniones presenciales no eran de nacionalidad norcoreana. Tales actores de amenaza norcoreanos de alto nivel suelen establecer relaciones cara a cara a través de intermediarios de terceros.

UNC4736 es un grupo de actores de amenaza rastreados por Mandiant, con evaluaciones de alta confianza que lo vinculan con la Oficina General de Reconocimiento de Corea del Norte. Esta organización ha estado atacando continuamente las industrias de criptomonedas y fintech desde 2018, robando activos digitales a través de ataques a la cadena de suministro, ingeniería social y entrega de malware.

Los incidentes de ataque importantes conocidos incluyen el ataque a la cadena de suministro de 3CX en marzo de 2023, el robo de 50 millones de dólares de Radiant Capital en 2024 y el robo de 285 millones de dólares de Drift, con datos estadísticos que indican que la organización ha robado aproximadamente 335 millones de dólares en total.

Este grupo es ampliamente considerado como un subconjunto del Grupo Lazarus, centrado en el cibercrimen motivado financieramente. El Grupo Lazarus robó aproximadamente 1.5 mil millones de dólares en activos de Bybit en febrero de 2025, marcando el robo único más grande en la historia de las criptomonedas.

El Grupo Lazarus es un grupo de actores de amenaza cibernética apoyados por el gobierno norcoreano, perteneciente a la Oficina General de Reconocimiento, que incluye múltiples subgrupos como UNC4736 (es decir, AppleJeus/Citrine Sleet) y TraderTraitor. Según Chainalysis, los hackers norcoreanos han robado aproximadamente 6.75 mil millones de dólares en criptomonedas a través de grupos como Lazarus, con más de 2 mil millones de dólares solo en 2025.

La organización ha sido responsable de varios incidentes de ataque de gran repercusión a nivel mundial: el hackeo de Sony Pictures Entertainment en 2014, el robo de 81 millones de dólares del banco central de Bangladés en 2016, el brote global de ransomware WannaCry en 2017, los robos de 620 millones y 100 millones de dólares del Ronin Bridge y del Harmony Horizon Bridge en 2022, y los ataques a Atomic Wallet y Stake en 2023. En octubre de 2024, UNC4736 atacó Radiant Capital, robando 50 millones de dólares; en febrero de 2025, TraderTraitor robó un récord de 1.5 mil millones de dólares de Bybit; y en abril de 2026, completaron un ataque de 285 millones de dólares en Drift Protocol.

Lazarus ha acumulado un total de 6.75 mil millones de dólares en robos de criptomonedas de Corea del Norte. Los métodos de ataque han cambiado de la destrucción temprana a la infiltración a largo plazo, la ingeniería social, los ataques a la cadena de suministro y la infiltración maliciosa de contratos inteligentes/multi-firma.

La declaración de Drift señaló que la investigación reveló que las identidades utilizadas en acciones dirigidas por terceros tenían historias personales y profesionales completas, incluyendo experiencia laboral, cualificaciones públicas y redes profesionales. Los individuos vistos por los colaboradores de Drift fuera de línea pasaron meses construyendo perfiles de identidad que pudieran resistir el escrutinio en un contexto de cooperación empresarial.

La investigadora de seguridad Taylor Monahan declaró anteriormente que los trabajadores de TI norcoreanos han estado infiltrando empresas de criptomonedas y proyectos DeFi durante al menos siete años, con más de 40 plataformas DeFi que tienen trabajadores de TI norcoreanos involucrados en diversas etapas. El incidente de Drift indica además que los atacantes han evolucionado de la infiltración de trabajos remotos a operaciones de inteligencia dirigidas cara a cara y de varios meses de duración.

Drift declaró que continuará cooperando con las fuerzas del orden, socios forenses y equipos del ecosistema, con más detalles que se publicarán una vez que se complete la investigación. Todas las funciones restantes del protocolo han sido congeladas, las billeteras robadas han sido eliminadas de las multi-firmas, y las direcciones de los atacantes han sido marcadas en varios intercambios y operadores de puentes entre cadenas.