Grupo de hackers norcoreanos conocidos como «Labyrinth Chollima» han lanzado un ciberataque selectivo contra las criptomonedas a través de una empresa proveedora de servicios en la nube llamado JumpCloud, como fue reportado por Reuters el 20 de Julio. Los hackers pretendían robar fondos de empresas de criptomonedas, aprovechando un sofisticado método para infiltrarse en sus sistemas.
Según los informes, los hackers norcoreanos tenían la mira puesta en las empresas de criptomonedas que utilizan los servicios de JumpCloud. Sin embargo, el informe se abstuvo de revelar los nombres de las empresas afectadas o la cantidad exacta de activos digitales robados.
UNA EMPRESA DE CIBERSEGURIDAD SEÑALA A LABYRINTH CHOLLIMA
Crowdstrike, una empresa de ciberseguridad que trabaja con JumpCloud, con sede en Louisville (Colorado), en la investigación, atribuyó el ataque al grupo de hackers Labyrinth Chollima. Aunque Crowdstrike no confirmó si alguna criptomoneda fue robada, señaló el historial del grupo de atacar a empresas de criptomonedas.
El 20 de Julio, JumpCloud divulgo que Corea del Norte estaba detrás del ataque y aclaró que sólo un puñado de sus 200.000 clientes corporativos y menos de 5 dispositivos se vieron afectados. El ataque, detectado inicialmente el 27 de Junio, fue descrito como un «sofisticado actor de amenazas patrocinado por un Estado-nación» involucrado en una campaña de spear-phishing.
JumpCloud describió a los atacantes como adversarios muy avanzados y persistentes con capacidades sofisticadas. Inyectaron datos en el marco de comandos de JumpCloud, resultando en un ataque altamente dirigido a clientes específicos.
LOS HACKERS NORCOREANOS Y SUS CRECIENTES ATAQUES A LA CRIPTO ECONOMÍA
Este incidente no es la primera vez que los hackers norcoreanos atacan el sector de las criptomonedas. Anteriormente ya habían participado en ataques a plataformas de criptomonedas como Axie Infinity y Harmony Bridge. Según las estimaciones de Chainalysis, grupos Norcoreanos han conseguido robar $1.700 millones de los $3.800 millones de robos totales de criptomonedas en el pasado 2022.
Este incidente pone de relieve la creciente amenaza de los ataques a la cadena de suministro, en los que los hackers vulneran un proveedor de servicios externo de confianza como JumpCloud para acceder a múltiples objetivos posteriores.
No obstante, JumpCloud insiste en que sigue comprometida con la investigación del incidente en colaboración con las fuerzas de seguridad federales de Estados Unidos y Crowdstrike. La empresa subraya que seguirá aplicando medidas de seguridad de primer orden y manteniendo una comunicación abierta con los clientes afectados y el sector en su conjunto.
Se insta a las empresas de criptomoneda y a los participantes del sector a que permanezcan vigilantes, mejoren los protocolos de seguridad y compartan información para protegerse de futuras amenazas de adversarios sofisticados como el grupo Labyrinth Chollima y otros hackers patrocinados por el Estado norcoreano.
