NFT, ciberdelincuentes y Corea del Norte
Los piratas informáticos norcoreanos habrían llevado a cabo campañas masivas de ‘phishing’ dirigidas a inversores de tokens no fungibles (NFT)
El entorno digital es, desde hace años, el caldo de cultivo de todo tipo de estafas, y los mercados vinculados a los activos criptográficos están especialmente en el punto de mira de los ciberdelincuentes. En este caso, según SlowMist, una empresa de seguridad de blockchain que investiga todo tipo de actividades ilícitas e inusuales en materia de criptomonedas, los piratas informáticos de Corea del Norte habrían obtenido más de 300 ETH en ganancias después de atacar a los usuarios de NFT a través de ataques de phishing. Por si fuera poco, se cree que el grupo malicioso denominado Advanced Persistent Threat, o simplemente «APT Hacker Group», está apoyado por el estado norcoreano. A raíz de estas estafas digitales, el grupo habría acumulado al menos 1.200 millones de dólares en ganancias ilegales desde 2017, y más de la mitad de esa cantidad se ha producido este año.
Más de 500 webs fraudulentas componían esta compleja estafa digital
La última estafa del grupo ATP se dirigió a los fanáticos de NFT que interactuaban con proyectos desarrollados en varias blockchains, permitiendo así diversificar entre varias comunidades de usuarios y coleccionistas de estos activos criptográficos. Para ello, el colectivo de delincuentes habría creado sitios web señuelo relacionados con NFT, principalmente portales de compraventa, donde los usuarios se conectarían con sus billeteras. Sin saberlo, los afectados en realidad se estaban conectando a páginas web que eran una réplica de su versión legítima, pero en este caso una copia creada para engañar a los incautos que de este modo acababan cediendo, sin saberlo, el acceso a los NFT que custodiaban en sus billeteras. Siguiendo esta estrategia, el grupo tenía casi 500 nombres de dominios web que usaban para estas campañas de phishing, aunque la mayoría las webs eran réplicas de conocidas plataformas NFT como OpenSea y X2Y2 que los afectados no supieron identificar como webs maliciosas.
Aunque el caso se ha destapado ahora, según SlowMist algunos de estos dominios se registraron hace más de siete meses y desde entonces habían estado operando sumergidos en el extenso ecosistema criptográfico. De hecho, ya comenzaron a investigar a este grupo de piratas informáticos en septiembre. Todo lo que se necesitó fue un tuit del popular usuario PhantomXSec, que reveló que el grupo estaba detrás de múltiples ataques a proyectos basados en Ethereum y Solana. Desde entonces, y gracias a la trazabilidad que ofrece la blockchain y una extensa investigación, se pudieron ir atando los cabos hasta definir el complejo entramado.
Una billetera vinculada a piratas informáticos de Corea del Norte robó más de 1000 NFT
SlowMist descubrió que una de las billeteras vinculadas a los piratas informáticos había recibido más de 1055 NFT. Estos habrían generado al grupo más de 300 ETH en ganancias después de venderlos en distintas plataformas. Tras seguir investigando, SlowMist descubrió que esta billetera en particular se financió inicialmente a través de Binance, y procedió a interactuar con varias direcciones expuestas en el caso.
Curiosamente, la mayoría de los sitios de phishing compartían la misma dirección IP de host. Por ejemplo, una IP tenía 372 y otra tenía 320 sitios de phishing, algunos vinculados a este entramado y otros distintos casos aislados. Los ataques se centraron en atraer a los poseedores de NFT para realizar operaciones de «Aprobación», lo cual es un procedimiento habitual por el que se pide al usuario que dé permiso a que la billetera se conecte a la plataforma dando determinados privilegios, como mostrar activos o permitir su compraventa. Sin embargo, esta aprobación, aparentemente fidedigna, era en realidad un engaño para que «realizaran firmas de permisos, así como otras actividades de autorización», que en realidad permitiría sustraer los NFT de las billeteras.
El phishing es sencillamente un truco, un espejismo realizado por ciberdelincuentes, para robar a sus víctimas obteniendo su información confidencial. Lo que hace que el phishing sea tan exitoso para los ciberdelincuentes es que aquellos que «muerden el anzuelo» ingresarán a un sitio que puede parecer idéntico al sitio que estaban buscando originalmente. En este caso, los afectados cedieron los datos necesarios para drenar todos los activos depositados en las billeteras, permitiendo así robar una cantidad elevada de activos a un gran número de usuarios.
La ciberdelincuencia vinculada a Corea del Norte sigue creciendo
En los últimos meses, Corea del Norte ha estado en el centro de varios delitos de robo de criptomonedas, por lo que este suceso no es un caso aislado. Según un informe de noticias publicado por el Servicio de Inteligencia Nacional (NIS) de Corea del Sur el 22 de diciembre, Corea del Norte robó USD 620 millones en criptomonedas solo durante este año 2022. En octubre, la Agencia Nacional de Policía de Japón también envió una advertencia a las empresas de criptoactivos del país, aconsejándolas que tuvieran cuidado con los grupos de piratería de Corea del Norte, al detectarlos especialmente activos.
Sin duda, una más que interesante trama de crimen internacional, especulación y activos criptográficos. Sea como fuere, este es un buen momento para recordar que en la economía digital, desde un pago con tarjeta de crédito al envío de una criptomoneda o la apertura de un supuesto mail enviado por una entidad bancaria, hay que extremar todas las precauciones.