Hackers de Corea del Norte utilizan la minería en la nube para lavar el dinero robado

Los hackers de Corea del Norte han recurrido a una nueva técnica para continuar con sus robos en línea y evadir los controles de las autoridades. Según un informe difundido por la compañía de seguridad cibernética Mandiant, propiedad de Google, el grupo de piratería APT43 se basa en los servicios de minería en la nube para lavar el dinero obtenido en otros crímenes.

Este proceso les permite producir bitcoin limpio proveniente de redes sin conexiones basadas en blockchain, casualmente utilizadas por las fuerzas de seguridad para rastrear los fraudes.

“Rompen con la cadena”, explicó al respecto Joe Dobson, analista de inteligencia de Mandiant, que estudia este tipo de amenazas. “Esto es como si un ladrón robara plata de la bóveda de un banco y luego fuera a un minero de oro y le pagara con ésta plata. Todo el mundo estaría buscándola mientras el atracador del banco se pasea con oro fresco recién extraído”, comparó el experto.

El informe expuso que APT43 comenzó con esta técnica de lavado de dinero en agosto de 2022 y, desde entonces, se han registrado decenas de miles de dólares en criptomonedas fluyendo hacia servicios de hashing -un método criptográfico que transforma registros de datos y caracteres en valores compactos y fijos-.

También, han identificado sumas similares provenientes de “pools” de minería, es decir, los servicios por los que un grupo de mineros de criptomonedas aportan con sus recursos de hashing a otro y obtienen una ganancia que, al final, es dividida equitativamente.

Arda Akartuna, analista de amenazas de la empresa de rastreo cripto Elliptic, advirtió que estos pools no cuentan con las mismas regulaciones y controles que, a menudo, son implementados en otros canales famosos por ser usados para bloqueos, como las bolsas y los servicios de ‘mezcla’ que buscan interferir en los rastreos.

“Es bastante preocupante que muchos grupos de minería no controlen realmente quién participa de ellos. Podría haber actores ilícitos contribuyendo a estos pools mientras que éstos no tienen las herramientas para identificarlos”, dijo.

Gracias a estos procesos, los pagos que los hackers obtienen son de dinero completamente limpio y que son depositados en monederos que no están vinculados a los miembros de APT43.

No obstante, Mandiant confirmó haber dado con algunos casos en los que los fondos habían sido mezclados con criptomonedas almacenadas en billeteras previamente identificadas con el grupo -gracias a años de campañas de seguimiento-.

La información recopilada sugiere que APT43 -también conocido como Kimsuky and Thallium- está conformado por agentes de espionaje de Reconnaissance General Bureau, de Corea del Norte, y lleva operando, por lo menos, desde 2018.

En estos años, el grupo ha centrado principalmente sus esfuerzos en tareas de espionaje, hackeo de think tanks y ataques a académicos y el sector privado de Estados Unidos, Europa, Corea del Sur y Japón. Para ello, lanzan campañas de phishing diseñadas para recopilar credenciales de víctimas y plantar malware en sus maquinas que, posteriormente, les permita avanzar con el robo de activos.

Un ejemplo fue el de Harmony Bridge y Ronin Bridge, cuyos servicios se vieron violados y saqueados.

“No necesitan USD 200 millones para alquilar servidores para ejecutar nodos C2. Necesitan cantidades mucho menores”, se explayó Dobson para explicar por qué apuntan a usuarios de todo el mundo, incluso a quienes puedan no poseer grandes fortunas, ya que prevalece la cantidad de robos sobre la cantidad robada. “Si alguien tiene fondos en su billetera virtual, será un objetivo”, aseguró.

De todas formas, los autores del informe de Mandiant sostienen que las cifras blanqueadas que han logrado corroborar no dan cuenta de la magnitud de los robos masivos de los que estos hackers son responsables, ya que llevan años realizando estas maniobras.

Un aspecto que el informe destaca es que, a diferencia de otros grupos de piratas informáticos en Pyongyang, APT43 utiliza sus ganancias para seguir financiando sus propias actividades de piratería y de ciberespionaje, en lugar de contribuir al programa nuclear del régimen.

Sea con el fin que sea, el documento puso de relieve que las autoridades de todo el mundo deberían dejar de centrar sus recursos únicamente en la búsqueda de blanqueadores de dinero y financieros criminales e incluir a los actores intermediarios del universo cripto y los mineros que, en definitiva, son la fuente de estos delitos.

Seguir leyendo: