Hackers norcoreanos atacan empresa estadounidense en robo de criptomonedas

Un conocido grupo de piratas informáticos respaldado por Corea del Norte se infiltró recientemente en JumpCloud, una empresa estadounidense de gestión de TI con sede en Louisville, Colorado. Fuentes cercanas a la situación revelaron que los piratas informáticos utilizaron esta brecha como plataforma de lanzamiento para atacar a empresas que operan con criptomonedas, con el objetivo de desviar sus activos digitales.
La naturaleza de este ciberataque demuestra que los piratas informáticos norcoreanos están evolucionando en su estrategia. Antes, atacaban a entidades de criptomonedas de forma individual; sin embargo, su modus operandi ahora parece implicar atacar a una única empresa de acceso que tiene conexiones con múltiples fuentes de criptomonedas.
Respuesta de JumpCloud
JumpCloud admitió la violación de datos en una publicación de blog, sugiriendo que un “agente de amenazas patrocinado por un estado-nación” era responsable. Sin embargo, la empresa se mantuvo callada cuando se le preguntó sobre los perpetradores específicos o la clientela afectada. Si bien un representante de JumpCloud confirmó que menos de cinco clientes se habían visto afectados, aún no hay claridad sobre si alguna moneda digital se robó durante la violación de datos.
Confirmaciones de expertos
CrowdStrike Holdings, una importante empresa de ciberseguridad, corroboró que el grupo identificado como “Labyrinth Chollima”, una notoria banda de ciberoperadores norcoreanos, orquestó esta intrusión cibernética. Adam Meyers, vicepresidente sénior de inteligencia de CrowdStrike, se abstuvo de dar más detalles sobre los objetivos de los piratas informáticos, pero sí subrayó su propensión histórica a atacar las tenencias de criptomonedas. Señaló: “Su objetivo principal parece girar en torno a la financiación del régimen”.
Desentrañando el modus operandi
Tom Hegel, investigador de ciberseguridad de SentinelOne, destacó el cambio en el enfoque de Corea del Norte en materia de piratería informática. Hegel, que no participó directamente en la investigación, destacó cómo Corea del Norte ha perfeccionado su habilidad en los “ataques a la cadena de suministro”. Esas estrategias implican la infiltración de proveedores de servicios o software para extraer indirectamente datos o fondos de sus clientes. Hegel advirtió: “Corea del Norte ciertamente está aumentando su apuesta”.
Además, Hegel planea publicar un artículo enfatizando cómo las pistas digitales publicadas por JumpCloud vinculan a los hackers con actividades típicamente asociadas con Corea del Norte.
Reacciones y antecedentes
Tanto la agencia de vigilancia cibernética estadounidense, CISA, como el FBI se abstuvieron de hacer comentarios sobre el tema.
Esta brecha en JumpCloud, una empresa especializada en ayudar a los administradores de redes, salió a la luz cuando la firma notificó a sus clientes que sus credenciales estaban siendo alteradas debido a “un incidente”. Posteriormente, JumpCloud reveló en una publicación de su blog que habían rastreado la brecha hasta el 27 de junio. Risky Business, un podcast especializado en ciberseguridad, también ha identificado a Corea del Norte como principal sospechoso del ataque.
Labyrinth Chollima, conocida por sus audaces ataques cibernéticos, es una de las principales entidades de piratería informática de Corea del Norte. Su historial está plagado de inmensos robos de moneda digital. En una revelación asombrosa, la entidad de análisis de cadenas de bloques Chainalysis informó el año pasado que los piratas informáticos norcoreanos habían robado aproximadamente 1.700 millones de dólares en criptomonedas en múltiples operaciones.
Meyers de CrowdStrike advirtió sobre el riesgo de subestimar las brigadas cibernéticas norcoreanas y anticipa más ataques similares a la cadena de suministro en el futuro.