En un reciente incidente que subraya las crecientes amenazas en el ámbito de las criptomonedas, un grupo de hackers norcoreanos conocido como Citrine Sleet ha aprovechado una vulnerabilidad de día cero en el navegador Chromium para atacar instituciones financieras y entidades del sector cripto. Esta brecha de seguridad permitió a los atacantes ejecutar código remoto, obteniendo así el control sobre los sistemas infectados y comprometiendo activos digitales.
El ataque y su impacto en la industria cripto
Según reportes de Microsoft, Citrine Sleet se centró en crear plataformas falsas de comercio de criptomonedas para engañar a sus víctimas y hacerles descargar software malicioso, como el troyano AppleJeus, diseñado específicamente para drenar fondos cripto de las carteras digitales. Esta sofisticada estrategia no solo demuestra la habilidad técnica de los atacantes, sino también su conocimiento profundo de las dinámicas y las vulnerabilidades presentes en la industria financiera digital.
La vulnerabilidad, identificada como CVE-2024-7971, era un fallo de confusión en el motor JavaScript V8 de Chromium, que permitió a los atacantes eludir las medidas de seguridad del navegador y ejecutar código dentro del sandbox del navegador. Es crucial destacar que Chromium es la base sobre la cual se construyen navegadores ampliamente utilizados como Google Chrome y Microsoft Edge. Esto significa que la falla no solo impacta a un solo navegador, sino que afecta a millones de usuarios que dependen de estos navegadores para sus transacciones y operaciones diarias.
El ataque fue identificado por Microsoft el 19 de agosto y, dos días después, Google lanzó un parche para corregir esta vulnerabilidad. Sin embargo, para muchas instituciones cripto, el daño ya estaba hecho.
Herramientas avanzadas de ataque
Además de explotar la vulnerabilidad CVE-2024-7971, los hackers norcoreanos desplegaron un rootkit denominado FudModule, que estaba diseñado para manipular las medidas de seguridad de Windows. Este rootkit ha sido previamente asociado con otro grupo de hackers norcoreanos conocido como Diamond Sleet, lo que sugiere que las herramientas avanzadas están siendo compartidas entre varios actores de amenazas dentro del régimen norcoreano.
FudModule ha estado en uso desde octubre de 2021, lo que indica que estos ataques son parte de una estrategia continua y altamente coordinada por parte de los actores de amenazas norcoreanos, que están constantemente evolucionando sus técnicas y herramientas para mantenerse un paso adelante de las defensas de ciberseguridad.
Otras actividades cibernéticas de Corea del Norte
El ataque de Citrine Sleet no es un caso aislado. El 15 de agosto, el experto en ciberseguridad ZachXBT reveló un esquema sofisticado donde trabajadores de TI norcoreanos se hicieron pasar por desarrolladores de criptomonedas. Esta operación resultó en el robo de 1.3 millones de dólares de la tesorería de un proyecto y expuso la vulnerabilidad de más de 25 proyectos cripto comprometidos.
Los fondos robados fueron lavados a través de múltiples transacciones, incluyendo la transferencia de activos de Solana a Ethereum y su posterior depósito en Tornado Cash, un servicio de mezclado de criptomonedas que dificulta el rastreo de los fondos. La investigación conectó estas actividades con una red de 21 desarrolladores norcoreanos, lo que subraya la sofisticación y alcance de las operaciones cibernéticas norcoreanas.
La creciente amenaza para el sector cripto
El sector de las criptomonedas, ya frecuentemente blanco de ciberataques, enfrenta riesgos cada vez mayores a medida que estos actores de amenazas sofisticados explotan vulnerabilidades en software ampliamente utilizado. Microsoft ha instado a usuarios y organizaciones a actualizar sus sistemas de manera oportuna, utilizar navegadores web seguros y actualizados, y habilitar funciones avanzadas de seguridad, como Microsoft Defender, para protegerse contra estas amenazas.
Este incidente destaca la necesidad urgente de una seguridad reforzada en la industria de las criptomonedas, donde las vulnerabilidades técnicas pueden tener consecuencias devastadoras para individuos y empresas por igual. La batalla entre los defensores de la ciberseguridad y los atacantes continúa intensificándose, y solo aquellos que se mantengan proactivos y bien informados podrán resistir las crecientes oleadas de amenazas digitales.
