El grupo Lazarus utiliza identidades e sitios falsos generados por IA para infiltrarse en el ecosistema cripto.
El grupo de hackers norcoreano Lazarus sigue innovando en sus operaciones de ciberdelincuencia. Según una investigación publicada por Silent Push, una de sus subdivisiones llamada Contagious Interview ha creado tres empresas ficticias con el objetivo de difundir malware dirigido a desarrolladores del sector cripto. Dos de estas entidades, BlockNovas LLC (registrada en Nuevo México) y SoftGlide LLC (en Nueva York), han sido oficialmente registradas en Estados Unidos, mientras que una tercera, Angeloper Agency, operaba sin presencia legal en territorio estadounidense.
Una estrategia de ingeniería social destacable
Los investigadores revelan que los hackers utilizaron identidades inventadas, direcciones falsas y perfiles de empleados generados por inteligencia artificial para dar credibilidad a sus empresas. Se utilizaron dominios como blocknovas[.]com o apply-blocknovas[.]site para alojar las ofertas de empleo falsas y atraer a las víctimas. Una vez ganada la confianza, el malware permitía acceder a las carteras cripto de las víctimas y recuperar identificadores y datos sensibles.
Esta estrategia recuerda a las operaciones anteriores llevadas a cabo por el grupo Lazarus. En 2021, el hackeo de Ronin Bridge de Axie Infinity costó 625 millones de dólares a Sky Mavis, después de que un empleado cayera en una oferta de trabajo falsa. En 2022, el Harmony’s Horizon Bridge sufrió un ataque similar que resultó en una pérdida de 100 millones de dólares.
Lazarus: una amenaza persistente para el ecosistema cripto
Desde 2017, los ataques dirigidos por Lazarus habrían desviado más de 3 mil millones de dólares en criptomonedas, según estimaciones de las Naciones Unidas y Chainalysis. Las campañas basadas en ofertas de empleo falsas representan una parte significativa de estos ciberataques, demostrando la efectividad de una ingeniería social bien elaborada.
Ante estas tácticas cada vez más elaboradas, la vigilancia sigue siendo crucial para los desarrolladores y las empresas del web3. La ilusión de una entrevista profesional nunca debe eclipsar las verificaciones básicas: identidad del interlocutor, dominio utilizado y origen de los archivos recibidos. Mientras tanto, el arsenal norcoreano continúa enriqueciéndose a medida que la frontera entre espionaje estatal y ciberdelincuencia se desdibuja.
