El intercambio de criptomonedas taiwanesas Bitoopro afirma que el grupo de piratería norcoreano Lazarus está detrás de un ataque cibernético que condujo a un vuelo de $ 11,000,000 en criptomonedas el 8 de mayo de 2025.
La compañía atribuyó el ataque a Lázaro sobre la base de la evidencia recuperada de sus encuestas internas. Señala que los modelos de ataques y la metodología se parecen mucho a los utilizados en ataques cibernéticos pasados.
“La metodología de ataque se asemeja a los modelos observados en múltiples incidentes internacionales anteriores, incluidas las transferencias ilegales de los sistemas globales de banca Swift y los incidentes de vuelo de los activos de los principales intercambios internacionales de criptomonedas”. anuncio de la cama.
“Estos ataques se atribuyen a la Organización Corea del Norte del Grupo Lázaro de la Piratería”.
BitoPro es un intercambio de criptomonedas que está destinado principalmente a los usuarios taiwaneses, admitiendo depósitos fiduciarios y retiros en TWD y una selección de activos criptográficos.
Tiene más de 800,000 usuarios registrados y un volumen de negociación diario de aproximadamente $ 30 millones.
El 8 de mayo de 2025, durante una actualización del sistema de billetera caliente, los Piratas hicieron retiros no autorizados de una antigua billetera caliente a través de varias blockchains, especialmente Ethereum, Tron, Solana y Polygon.
Después del vuelo, los fondos robados fueron blanqueados por DEX y mezcladores como Tornado Cash, Thorchain y Wasabi Wallet.
Bitoopro tardó en admitir el incidente, solo confirmarlo públicamente el 2 de junioSeñalando que no todas las operaciones han sido afectadas e impactadas, las carteras en caliente han sido reconstruidas por las reservas disponibles.
La encuesta de piratería ahora ha confirmado que no hubo participación interna, incluso si los atacantes lanzaron un ataque de ingeniería social e implementaron malware en el dispositivo de un empleado que administró operaciones en la nube.
Gracias a esta infección, los atacantes desviaron los tokens de sesión de AWS para evitar la autenticación multifactor (MFA) y tomar el control de la infraestructura de la nube BITPRO.
Luego, el servidor de control y control (C2) entregó pedidos al implante que inyectó scripts en el host de la billetera caliente a la preparación del ataque.
Cuando se mejoró la cartera y se transfirieron los activos, los atacantes robaron la criptografía mientras simulaban el comportamiento operativo normal para escapar de la detección inmediata.
Una vez que BitoPro detectó el compromiso, cerraron el sistema de billetera caliente y convirtieron las claves criptográficas. Sin embargo, alrededor de $ 11 millones en criptomoneda ya habían sido robados.
La compañía informó a las autoridades aplicables y se ha involucrado con un experto en ciberseguridad externo para investigar el incidente, un proceso finalizado el 11 de junio.
Se sabe que el grupo norcoreano Lazaro se dirige a las criptomonedas y entidades financieras descentralizadas. El grupo de piratería sería responsable del balance digital récord, más recientemente, el vuelo de $ 1.5 mil millones por BYBIT.
El correctivo significaba scripts complejos, largas horas y ejercicios interminables de fuego. No más.
En esta nueva guía, los dientes descomponen la forma en que las organizaciones modernas de TI están ganando energía con la automatización. Parche más rápido, reduzca los costos generales y se centre en el trabajo estratégico, no se requiere un guión complejo.