Un informe reciente reveló la escala masiva de los delitos relacionados con las criptomonedas apoyados por el gobierno de Corea del Norte.
Los ciberdelincuentes de la República Popular Democrática de Corea (RPDC) se afirmaron como una amenaza persistente avanzada para la industria de la criptomoneda en 2021, informó Chainalysis.
Según la plataforma de datos basada en blockchain que apoya a los sectores gubernamental y privado en la detección y prevención del uso ilícito de criptodivisas, los piratas informáticos norcoreanos robaron 400 millones de dólares en criptodivisas el año pasado, mientras que la cantidad de fondos totales no blanqueados se acumuló a un máximo histórico (ATH).
«Grupo Lazarus «
Apuntando principalmente a las empresas de inversión y a los intercambios centralizados, los hackers norcoreanos lanzaron al menos siete ataques a las plataformas de criptodivisas, extrayendo casi 400 millones de dólares de cripto en 2021.
Mientras que, en comparación con 2020, el número de ataques saltó de cuatro a siete, el valor extraído creció un 40%.
Hackeos norcoreanos a lo largo del tiempo (Chainalysis)
Para desviar fondos de los monederos «calientes» de estas organizaciones a direcciones controladas por la RPDC, los ciberdelincuentes utilizaron señuelos de phishing, exploits de código, malware e ingeniería social avanzada;
Una vez que Corea del Norte se hizo con la custodia del cripto robado, utilizó cuidadosas tácticas de blanqueo para encubrir y cobrar los fondos.
«Estas complejas tácticas y técnicas han llevado a muchos investigadores de seguridad a caracterizar a los actores cibernéticos de la RPDC como amenazas persistentes avanzadas (APT)», señaló el informe, y agregó que esto es particularmente cierto para APT 38, alias el «Grupo Lazarus», dirigido por la principal agencia de inteligencia de la RPDC, la Oficina General de Reconocimiento sancionada por Estados Unidos y la ONU
A partir de 2018, el Grupo Lazarus robó y blanqueó sumas masivas de criptodivisas cada año -que suelen superar los 200 millones de dólares-.
«Los hacks individuales más exitosos, uno en KuCoin y otro en un intercambio de criptodivisas sin nombre, obtuvieron más de 250 millones de dólares cada uno», se lee en el informe, señalando que, según el consejo de seguridad de la ONU, los ingresos de los hacks apoyan los programas de armas de destrucción masiva y misiles balísticos de Corea del Norte.
Proceso de blanqueo
En 2021, en términos de valor en dólares, Ethereum por primera vez representó la mayor parte de las criptomonedas robadas por la RPDC, mientras que Bitcoin representó sólo el 20%, y los tokens ERC-20 y altcoins representaron el 22% de los fondos.
Share of stolen crypto funds by coin type over time (Chainalysis)
La creciente variedad de criptodivisas robadas condujo al aumento de la complejidad del criptoblanqueo de la RPDC, según Chainalysis, que desglosó el sofisticado proceso en varios pasos, observando un mayor uso de «mezcladores» entre los hackers norcoreanos en 2021.
Estas herramientas de software permiten a los hackers agrupar y mezclar criptodivisas de miles de direcciones y complicar enormemente el seguimiento de las transacciones.
Chainalysis explicó las tácticas utilizadas actualmente basándose en uno de los ataques de los últimos años, que tuvo como resultado el blanqueo de 91,35 millones de dólares en criptomonedas.
En agosto, Liquid.com informó de que un usuario no autorizado había accedido a algunas de las carteras gestionadas por el criptointercambio. En el ataque, 67 tokens ERC-20 diferentes, junto con grandes sumas de Ethereum y Bitcoin fueron trasladados desde estas criptocarteras a direcciones controladas por una parte que trabajaba en nombre de la RPDC.
En un proceso de blanqueo típicamente utilizado, los tokens ERC-20 y las altcoins se cambian por Ethereum en los DEX.
Visualización del proceso de blanqueo en Chainalysis Reactor: Tokens ERC-20 robados intercambiados por Ethereum en DEXs (Chainalysis)
En el siguiente paso, Ethereum se mezcla y se intercambia por Bitcoin en DEXs y CEXs.
Visualización del proceso de blanqueo en Chainalysis Reactor: Mezcla de Ethereum depositada en DEXs y CEXs para intercambiar por Bitcoin (Chainalysis)
Finalmente, el Bitcoin se mezcla y se consolida en nuevos monederos, tras lo cual se envía a direcciones de depósito en intercambios de criptomonedas con sede en Asia.
Visualización del proceso de blanqueo: El Bitcoin se mezcla, se consolida en nuevos monederos y se deposita en servicios de intercambio de criptomonedas para su cobro (Chainalysis)
Según el informe, más del 65% de los fondos robados de la RPDC se blanquearon a través de los servicios de intercambio en 2021, frente al 42% en 2020.
Chainalysis describe el uso de múltiples mezcladores por parte de la RPDC como un «intento calculado de ocultar los orígenes de sus criptodivisas mal habidas mientras se desvía hacia el fiat.»
Mientras tanto, los hackers de la RPDC recurren a plataformas DeFi como DEXs para «proporcionar liquidez para una amplia gama de tokens ERC-20 y altcoins que de otro modo no serían convertibles en efectivo.»
Cambiar estas criptomonedas por Ethereum o Bitcoin no solo las hace más líquidas, sino que abre una mayor oferta de mezcladores e intercambios.
Al no tener custodia, las plataformas DeFi a menudo no recogen información de conocimiento del cliente (KYC), lo que permite a los hackers utilizar sus servicios sin que se congelen sus activos o se expongan sus identidades, según Chainalysis.
Acumulación de fondos no blanqueados
«Chainalysis ha identificado 170 millones de dólares en saldos actuales -que representan los fondos robados de 49 hackeos distintos que abarcan desde 2017 hasta 2021- que están controlados por Corea del Norte pero que aún no han sido blanqueados a través de los servicios», se lee en el informe.
El informe reveló saldos masivos no blanqueados de hasta seis años de antigüedad: aproximadamente 35 millones de dólares del total de las posesiones de la RPDC procedían de ataques de 2020 y 2021, mientras que más de 55 millones procedían de ataques realizados en 2016.
Saldos en poder de la RPDC por año de ataques (Chainalysis)
«No está claro por qué los piratas informáticos siguen reteniendo estos fondos, pero podría ser que esperan que el interés de las fuerzas de seguridad en los casos disminuya, para poder cobrar sin ser vigilados», se lee en el informe, añadiendo que, sea cual sea la razón, «el tiempo que la RPDC está dispuesta a retener estos fondos es esclarecedor porque sugiere un plan cuidadoso, no uno desesperado y apresurado.»
