Es posible que te encuentres con clientes de alto poder adquisitivo que podrían ser «mercenarios» al servicio de los hackers norcoreanos

Autor original: Nicky, Noticias Foresight

Recientemente, Drift Protocol ha publicado los últimos resultados de la investigación sobre el incidente del ataque, en los que se indica que esta operación fue llevada a cabo por el mismo actor malicioso implicado en el incidente de piratería informática de Radiant Capital ocurrido en octubre de 2024, con un alto grado de similitud en los flujos de fondos en la cadena y en los métodos operativos. La empresa de seguridad Mandiant atribuyó el ataque a Radiant Capital a UNC4736, una organización vinculada al Gobierno de Corea del Norte.

Tras el ataque a Drift, los hackers han acumulado 130 293 ethereum-eth-143">ETH, por un valor aproximado de 266 millones de dólares. El incidente afectó a 20 protocolos, entre los que se incluyen Prime Numbers Fi, Gauntlet, Elemental DeFi y Project 0, entre otros. Prime Numbers Fi estimó unas pérdidas superiores a los 10 millones de dólares, Gauntlet, en torno a los 6,4 millones, Neutral Trade, en torno a los 3,67 millones, y Elemental DeFi, en torno a los 2,9 millones, aunque Elemental ha expresado su esperanza de recibir una compensación parcial por parte de Drift.

Drift afirmó que el ataque fue una operación meticulosamente planificada que duró seis meses. En otoño de 2025, un grupo que se presentaba como una empresa de trading cuantitativo se puso en contacto con los colaboradores de Drift en una importante conferencia sobre criptomonedas. Según el calendario, las principales conferencias sobre criptomonedas de este periodo incluyeron la Korea Blockchain Week 2025 (del 22 al 28 de septiembre de 2025, celebrada en Seúl), TOKEN2049 Singapur (del 1 al 2 de octubre de 2025, celebrada en Singapur), la Binance Blockchain Week Dubai 2025 (del 30 al 31 de octubre de 2025, celebrada en Dubái) y la Solana Breakpoint Dubai (del 20 al 21 de noviembre de 2025, celebrada en Dubái).

Los responsables de Drift afirmaron que contaban con las habilidades técnicas necesarias, tenían una trayectoria profesional contrastada y conocían muy bien el funcionamiento de Drift. Ambas partes crearon un grupo de Telegram y mantuvieron debates en profundidad sobre estrategias de negociación y la integración de la tesorería durante los meses siguientes.

Entre diciembre de 2025 y enero de 2026, este grupo se instaló oficialmente en una tesorería ecológica en Drift, rellenando los formularios de detalles estratégicos según lo requerido. Mantuvieron numerosas reuniones de trabajo con varios colaboradores, plantearon cuestiones detalladas sobre el producto y aportaron más de un millón de dólares de sus propios fondos. Gracias a una gestión paciente y metódica, lograron establecer una presencia empresarial plenamente operativa dentro del ecosistema Drift.

Las conversaciones sobre la integración se prolongaron hasta marzo de este año. Varios colaboradores de Drift volvieron a reunirse en persona con estas personas en diversas conferencias internacionales. Para entonces, ambas partes llevaban ya casi seis meses colaborando, y la otra parte ya no era un desconocido, sino un socio con el que habían trabajado. Durante ese periodo, compartieron enlaces a proyectos, herramientas y aplicaciones que, según afirmaban, estaban desarrollando, lo cual es una práctica habitual entre las empresas de trading.

Tras el ataque del 2 de abril, los investigadores llevaron a cabo un exhaustivo análisis forense de los dispositivos, cuentas y registros de comunicación afectados, y se determinó que las interacciones con este equipo de operaciones constituían la vía de intrusión más probable. En el momento del ataque, los registros de chat de Telegram y el malware de la otra parte habían sido borrados por completo.

La investigación reveló que los atacantes podrían haberse infiltrado en los dispositivos de los colaboradores de Drift mediante tres métodos. Es posible que un colaborador haya sido víctima de un ataque tras clonar el repositorio de código compartido por el equipo, que se hacía pasar por la interfaz de implementación de su sistema de tesorería. A otro colaborador le engañaron para que descargara una aplicación de TestFlight, que, según la otra parte, era su producto de monedero digital. En cuanto a la vía de infiltración del repositorio de código, la comunidad de seguridad había advertido en repetidas ocasiones, entre diciembre de 2025 y febrero de 2026, sobre vulnerabilidades conocidas en VSCode y Cursor, en las que el mero hecho de abrir un archivo, una carpeta o un repositorio en el editor podía provocar la ejecución silenciosa de código arbitrario sin que el usuario tuviera que hacer clic ni se le solicitara nada. Todavía se está llevando a cabo un análisis forense completo del hardware afectado.

Esta operación está relacionada con el mismo actor malicioso implicado en el incidente de piratería informática de Radiant Capital ocurrido en octubre de 2024. Mandiant atribuyó el ataque Radiant a UNC4736, una organización patrocinada por el Estado de Corea del Norte, también conocida como AppleJeus o Citrine Sleet. Esta atribución se basa en dos aspectos: los flujos de fondos en la cadena de bloques indican que los fondos utilizados para planificar y probar esta operación pueden rastrearse hasta los autores del ataque a Radiant; desde el punto de vista operativo, los encubrimientos utilizados en esta acción muestran coincidencias identificables con actividades conocidas relacionadas con Corea del Norte.

Drift señaló que las personas que asistieron a las reuniones presenciales no eran de nacionalidad norcoreana. Estos actores maliciosos norcoreanos de alto nivel suelen establecer relaciones directas a través de intermediarios externos.

UNC4736 es un grupo de actores maliciosos al que sigue la pista Mandiant, y hay evaluaciones con un alto grado de fiabilidad que lo vinculan con la Oficina General de Reconocimiento de Corea del Norte. Esta organización lleva desde 2018 atacando de forma continuada a los sectores de las criptomonedas y las tecnologías financieras, sustrayendo activos digitales mediante ataques a la cadena de suministro, ingeniería social y la distribución de malware.

Entre los principales incidentes de ataque conocidos se incluyen el ataque a la cadena de suministro de 3CX en marzo de 2023, el robo de 50 millones de dólares a Radiant Capital en 2024 y el robo de 285 millones de dólares a Drift; los datos estadísticos indican que la organización ha sustraído aproximadamente 335 millones de dólares en total.

Este grupo se considera generalmente un subgrupo del Grupo Lazarus, dedicado a la ciberdelincuencia con fines económicos. El Grupo Lazarus sustrajo aproximadamente 1.500 millones de dólares en activos de Bybit en febrero de 2025, lo que supuso el mayor robo de la historia de las criptomonedas.

El Grupo Lazarus es un grupo de actores especializados en amenazas cibernéticas respaldado por el Gobierno de Corea del Norte, perteneciente a la Oficina General de Reconocimiento, que incluye múltiples subgrupos como UNC4736 (es decir, AppleJeus/Citrine Sleet) y TraderTraitor. Según Chainalysis, los piratas informáticos norcoreanos han robado aproximadamente 6.750 millones de dólares en criptomonedas a través de grupos como Lazarus, de los cuales más de 2.000 millones solo en 2025.

La organización ha sido responsable de varios incidentes de ciberataques que han causado sensación a nivel mundial: el ataque informático a Sony Pictures Entertainment en 2014, el robo de 81 millones de dólares al Banco Central de Bangladés en 2016, el brote mundial del ransomware WannaCry en 2017, los robos de 620 y 100 millones de dólares de Ronin Bridge y Harmony Horizon Bridge en 2022, y los ataques a Atomic Wallet y Stake en 2023. En octubre de 2024, UNC4736 atacó Radiant Capital y sustrajo 50 millones de dólares; en febrero de 2025, TraderTraitor sustrajo la cifra récord de 1.500 millones de dólares de Bybit; y en abril de 2026, llevaron a cabo un ataque contra Drift Protocol por valor de 285 millones de dólares.

Lazarus ha provocado que el importe total de las sustracciones de criptomonedas en Corea del Norte ascienda a 6.750 millones de dólares. Los métodos de ataque han pasado de la destrucción inmediata a la infiltración a largo plazo, la ingeniería social, los ataques a la cadena de suministro y la infiltración maliciosa en contratos inteligentes y sistemas de multifirma.

En la declaración de Drift se señalaba que la investigación reveló que las identidades utilizadas en las acciones dirigidas por terceros contaban con historiales personales y profesionales completos, incluyendo experiencia laboral, titulaciones oficiales y redes profesionales. Las personas con las que se reunieron los colaboradores de Drift en persona dedicaron meses a elaborar perfiles de identidad que pudieran resistir un examen minucioso en el contexto de una colaboración empresarial.

El investigador en seguridad Taylor Monahan afirmó anteriormente que los informáticos norcoreanos llevan al menos siete años infiltrándose en empresas de criptomonedas y proyectos de DeFi, y que más de 40 plataformas de DeFi cuentan con la participación de informáticos norcoreanos en diversas fases. El incidente de Drift pone de manifiesto, además, que los atacantes han pasado de infiltrarse en puestos de trabajo a distancia a llevar a cabo operaciones de inteligencia selectivas, presenciales y de varios meses de duración.

Drift ha declarado que seguirá colaborando con las fuerzas del orden, los socios forenses y los equipos del ecosistema, y que se darán a conocer más detalles una vez concluida la investigación. Se han suspendido todas las demás funciones del protocolo, se han eliminado las carteras robadas de las firmas múltiples y se han marcado las direcciones de los atacantes en diversas plataformas de intercambio y operadores de puentes entre cadenas.