Hackers norcoreanos explotan dispositivo de desarrollo y roban millones en criptomonedas

• UNC4899 engañado a un desarrollador mediante AirDrop, se adaptó a la nube y robó millones en criptomonedas.
• Los hackers explotaron Kubernetes, alteraron la configuración de MFA y accedieron a bases de datos sensibles para robar activos digitales.
• Los grupos vinculados a Corea del Norte utilizan cada vez más malware de IA y falsos freelancers para atacar a desarrolladores de blockchain.

Un actor amenazante norcoreano, UNC4899, lanzó un sofisticado ataque contra una empresa de criptomonedas en 2025, robando millones en activos digitales. Los hackers engañaron a un desarrollador para que descargara un archivo aparentemente legítimo como parte de una colaboración de código abierto.

El desarrollador lo transfirió a un dispositivo corporativo usando AirDrop. Como resultado, el código malicioso en Python incrustado ejecutaba un binario que se hacía pasar por una herramienta de línea de comandos de Kubernetes. Esta puerta trasera permitió a los atacantes pivotar hacia la nube, recopilar credenciales y manipular infraestructuras críticas.

Google Cloud describió el ataque como una mezcla de «ingeniería social, explotación de mecanismos de transferencia de datos entre usuarios de dispositivos corporativos de nivel peer-to-peer, flujos de trabajo y un eventual giro hacia la nube para emplear técnicas de vivir de la nube (LOTC)».

Los atacantes en la nube drenan la criptografía a través de Kubernetes

Una vez que UNC4899 accedieron al sistema, exploraron la configuración de Kubernetes de la empresa y usaron tokens de cuentas de servicio robadas para obtener acceso de nivel superior. Incluso cambiaron la configuración de autenticación multifactor para facilitar la entrada. Los hackers luego accedieron a partes sensibles del sistema que gestionaban los controles de red e información de los clientes, incluidas las carteras de criptomonedas.

A continuación, tomaron los datos de inicio de sesión de la base de datos almacenados de forma insegura en el sistema, accedieron a la base de datos de producción y realizaron cambios en las cuentas de usuario. Esto incluía restablecer contraseñas y actualizar los códigos MFA para cuentas de alto valor. Al final, los atacantes lograron retirar varios millones de dólares en moneda digital.

Relacionado: Red de blanqueo de criptomonedas utilizó 107 millones de dólares en USDT para influir en las elecciones de Moldavia

UNC4899 también dirigió los procesos automatizados de desarrollo de la empresa para mantenerse ocultos en la nube. Implantaron comandos en los despliegues de Kubernetes para que cada vez que se iniciaba un nuevo pod, se descargaba automáticamente una puerta trasera.

Google sugiere que las empresas mantengan los entornos en la nube estrictamente separados, limiten el intercambio de archivos entre pares y vigilen la actividad inusual en los contenedores. Además, las organizaciones deberían utilizar autenticación multifactor resistente al phishing y una gestión sólida de secretos para reducir el riesgo de una brecha.

Actividad cibernética más amplia en Corea del Norte

Otros grupos relacionados con Corea del Norte, como Konni, están utilizando malware generado por IA con la ayuda de PowerShell para atacar a desarrolladores de blockchain. Estos atacantes envían mensajes maliciosos en Discord con malware que puede robar dinero y datos.

Los informes muestran que más de 16,5 millones de dólares fueron destinados a trabajadores informáticos norcoreanos que se hacían pasar por autónomos legítimos solo en 2025. Esto demuestra lo arriesgadas que pueden ser las prácticas de contratación y pone de manifiesto la necesidad de controles de antecedentes más rigorosos y una mayor conciencia sobre ciberseguridad.

Relacionado: El Departamento de Justicia de EE. UU. volverá a juzgar al cofundador de Tornado Cash, Roman Storm, este otoño