Los ciberataques perpetrados por grandes grupos de hackers, muchos de ellos respaldados por gobiernos de todo el mundo, han dejado de ser algo puntual. En España ya se han sufrido las consecuencias de estos efectos, llegando a paralizar servicios vitales de la infraestructura del país. Un nuevo ataque, esta vez llevado a cabo desde Corea del Norte, aprovechó empresas estadounidenses para robar criptomonedas.
Así lo asegura Reuters, que detalla cómo un grupo hacker centrado en el espionaje y que cuenta con el beneplácito del régimen norcoreano consiguieron acceder a una empresa de gestión TI (administración de recursos tecnológicos en una empresa) conocida como JumpCloud para intentar realizar un ingente robo de criptomonedas. Realizaron el ataque a finales de junio, y usaron este acceso a los sistemas de la compañía para apuntar a clientes empresariales con activos en criptomonedas.
El grupo en cuestión es conocido como Labyrinth Chollima y fue detectado por la compañía de seguridad cibernética CrowdStrike Holdings. Actualmente tanto esta compañía como la propia JumpCloud están investigando lo sucedido, y aunque no se ha determinado concretamente si el objetivo era robar criptomonedas, ambas empresas coinciden en que ese es su modus operandi.
Ataque hacker norcoreano
JumpCloud es una compañía que comercializa sistemas para ayudar a administradores de red a gestionar sistemas de servidores y dispositivos. A principios del mes de julio, la firma envió un email a sus clientes, informándoles sobre el cambio de credenciales que llevarían a cabo a tenor de "un incidente". Posteriormente, en un blog, JumpCloud habló del incidente, que calificó como un ataque hacker.
Por otro lado, está Labyrinth Chollima, un impresionante grupo de hackers norcoreanos y que han sido acusados en algunos de los casos de ataques cibernéticos más importantes en la historia del país. Solo en 2022, la firma de análisis Blockchain Chainalysis aseguró que grupos vinculados al régimen de Pyongyang robaron criptomonedas por valor de 1.700 millones de dólares.
El investigador de seguridad cibernética Tom Hegel (que no tomó parte en la investigación de JumpCloud) resaltó cómo Corea del Norte habría usado a este grupo para conseguir fondos.
Hegel asegura que Corea del Norte está "intensificando su juego", y junto a él está Adam Meyers, vicepresidente sénior de inteligencia de CrowdStrike, que afirma que el historial de este grupo era precisamente el robo de criptomonedas para beneficiar al régimen norcoreano. "Uno de sus principales objetivos sha sido generar ingresos para el régimen", aseguró.
Pero ¿cómo se certificó que fue Labyrinth Chollima el autor de este ataque? El ataque reveló cómo estos atacantes se dedican a atacar a empresas de todo tipo para conseguir acceso a fuentes de criptomonedas y monedas digitales para robar sus fondos. En este caso, menos de 5 clientes fueron afectados, y no se ha podido determinar si se ha robado algún efectivo.
La clave de esta investigación la tiene el propio Tom Hegel, que explica cómo los atacantes norcoreanos se habían vuelto expertos en ataques conocidos como supply chain attacks, o lo que es lo mismo, ataques a infraestructuras críticas de empresas que buscan comprometer a proveedores de software o servicios para robar sus datos.
Fue Hegel el que detalló como los indicadores digitales publicados por JumpCloud se vincularon a los atacantes de Labyrinth Chollima, los cuales ya cuentan con un historial delictivo considerable. La misión de Pyongyang ante las Naciones Unidas en Nueva York no respondió, aunque Corea del Norte ha negado estos casos de robos de criptomonedas.