El grupo de hackers norcoreano conocido como ‘TraderTraitor’ robó 308 millones de dólares en criptomonedas durante un ataque al exchange japonés DMM Bitcoin en mayo de 2024.
En una breve publicación, el FBI atribuyó el ataque a TraderTraitor, también identificado como Jade Sleet, UNC4899 y Slow Pisces, un actor de amenazas vinculado al gobierno de Corea del Norte.
El robo de criptomonedas obligó a DMM Bitcoin a restringir temporalmente el registro de cuentas, los retiros de criptomonedas y el comercio en la plataforma hasta que se completaron las investigaciones.
A principios de esta semana, un informe de la firma de inteligencia blockchain Chainalysis también vinculó el ataque a actores de amenazas norcoreanos, aunque no se ofrecieron detalles específicos sobre la operación.
Cadena de ataque
El FBI explicó que el ataque de TraderTraitor a DMM Bitcoin comenzó a finales de marzo de 2024, cuando uno de los atacantes se hizo pasar por un reclutador legítimo en LinkedIn y contactó a un empleado de Ginco, una empresa japonesa que desarrolla software de billeteras criptográficas.
El hacker envió una propuesta de trabajo al empleado de Ginco, quien tenía acceso al sistema de gestión de billeteras de la empresa, junto con una prueba de trabajo en GitHub. Esta táctica, muy utilizada por los grupos de amenazas norcoreanos este año, fue la clave para infiltrarse.
El empleado recibió un fragmento de código Python malicioso que debía colocar en su página personal de GitHub como parte de la prueba. Al hacerlo, comprometió su computadora, lo que permitió que TraderTraitor accediera a los sistemas de Ginco y luego se desplazara lateralmente hacia DMM Bitcoin.
«Después de mediados de mayo de 2024, los actores de TraderTraitor utilizaron información de las cookies de sesión para suplantar al empleado comprometido y accedieron con éxito al sistema de comunicaciones no cifradas de Ginco», detalló el FBI.
A finales de mayo de 2024, los atacantes probablemente utilizaron este acceso para manipular una solicitud de transacción legítima hecha por un empleado de DMM, lo que resultó en el robo de 4,502.9 BTC, equivalentes a 308 millones de dólares al momento del ataque.
Las autoridades estadounidenses han estado vigilando las actividades de TraderTraitor desde 2022, cuando el grupo comenzó a atacar el sector blockchain mediante aplicaciones falsas. En 2023, GitHub emitió una advertencia sobre una campaña de ingeniería social dirigida a cuentas de desarrolladores en sectores como blockchain, criptomonedas, juegos de azar en línea y ciberseguridad.
Finalmente, el FBI alertó que TraderTraitor planeaba retirar 1,580 Bitcoin (aproximadamente 41 millones de dólares en ese momento) robados de varias fuentes durante ese año.
