El Grupo Lazarus, un sindicato de ciberdelincuencia asociado durante mucho tiempo con Corea del Norte, está cambiando su enfoque de los tradicionales robos bancarios a importantes ataques contra las industrias de criptomonedas y fintech. Desde 2017, los analistas estiman que Lazarus ha sido responsable de robos que suman un total de $6.7 mil millones. La última operación del grupo, denominada “Mach-O Man,” está dirigida específicamente a ejecutivos y empresas en el ámbito de las finanzas digitales, explotando nuevas vulnerabilidades para acceder a grandes sumas en activos digitales.
Mach-O Man ataca a líderes de crypto y fintech
Natalie Noticiason, una experta en seguridad blockchain en CertiK, ha estado monitoreando de cerca las operaciones del Grupo Lazarus en el ámbito de las criptomonedas y fintech. En las últimas dos semanas, Lazarus robó más de $500 millones en activos digitales de plataformas como Drift y KelpDAO. Los investigadores destacan que la campaña Mach-O Man no es un incidente aislado, sino una misión coordinada respaldada y orquestada a nivel estatal por Corea del Norte.
Este enfoque sofisticado se dirige tanto a instituciones como a altos ejecutivos en el ámbito de las criptomonedas y las finanzas. Los expertos ahora ven el robo digital de Corea del Norte como una fuente de ingresos sistémica y dirigida por el estado. También hay una creciente preocupación entre los profesionales de seguridad de que variantes de la técnica Mach-O Man podrían ser adoptadas por otras organizaciones criminales en todo el mundo.
Cómo funcionan las explotaciones de ingeniería social ClickFix
La característica distintiva del ataque Mach-O Man es su uso de malware modular para macOS, desarrollado por la subunidad “Chollima” de Lazarus y diseñado para comprometer aplicaciones de crypto y fintech en sistemas Apple. Según Noticiason, el malware se entrega a través de un engaño de ingeniería social dirigido conocido como “ClickFix.”
Los atacantes contactan a ejecutivos a través de Telegram, enviando solicitudes urgentes de reunión. Luego, las víctimas son redirigidas a sitios engañosamente auténticos que imitan plataformas conocidas como Zoom, Microsoft Teams o Google Meet. Se les dice que los problemas de conexión requieren que peguen un comando proporcionado en su terminal, otorgando sin querer a los hackers acceso directo a los sistemas corporativos y activos financieros.
Noticiason explica que “la página parece completamente legítima, y las instrucciones parecen rutinarias—la víctima inicia la acción por sí misma, por lo que los controles de seguridad convencionales rara vez detectan el ataque.”
Los proyectos DeFi enfrentan mayores riesgos
La sofisticación de Mach-O Man ha levantado alarmas en todo el sector, planteando serias amenazas tanto para organizaciones como para individuos, particularmente en el ámbito DeFi. El investigador de seguridad Vladimir S. informa que los atacantes incluso han tomado el control de dominios de proyectos DeFi, reemplazando los sitios web originales por solicitudes fraudulentas de Cloudflare que instruyen a los usuarios a ejecutar comandos maliciosos para “autenticación.”
Esta táctica utiliza avisos convincentes tan bien que la mayoría de los usuarios, incluidas las personas en altos cargos, cumplen sin dudarlo, abriendo inadvertidamente la puerta para un compromiso total de la plataforma. El malware está diseñado para borrarse rápidamente, dejando prácticamente sin huellas digitales y haciendo extremadamente difícil el rastreo forense.
Noticiason observa: “La mayoría de las víctimas nunca se dan cuenta de que han sido comprometidas. Incluso si lo hacen, es casi imposible identificar qué variante infiltró sus sistemas.”
Los especialistas advierten que los ataques del Grupo Lazarus ya no son noticias eventuales: representan ahora una amenaza persistente y de alto riesgo para todo el ecosistema de criptomonedas. Se insta a aquellos activos en los ámbitos fintech y de moneda digital a aumentar tanto la vigilancia técnica como social para prevenir incursiones futuras.
