RFI

¿Cómo opera Lazarus, el grupo de hackers que trabaja para Corea del Norte?

por Avatar RFI

Correo electrónico, Whatsapp, Linkedin, Telegram. Desde hace meses, Rémi recibe casi a diario ofertas de trabajo en diferentes redes. Este joven ingeniero ha creado una empresa de ciberseguridad especializada en criptomonedas: IARD solution. Su perfil interesa especialmente a los hackers de Lazarus, un grupo vinculado al régimen norcoreano. El FBI y una investigación de la empresa de ciberseguridad de Singapur Groupe IB los acusan de llevar a cabo una gran estafa digital con un objetivo simple y lucrativo: vaciar las carteras de criptomonedas.

“Hola Rémi, estamos buscando un desarrollador de blockchain cualificado”, y un enlace para apuntarse a una posible entrevista de trabajo. Pero a diferencia de una estafa clásica, el perfil de usuario es creíble. “Es una cuenta pirateada de alguien con mucha experiencia en el campo”, explica Rémi.

“A medida que avanzaba la conversación, me ofrecieron pagarme entre 300.000 y 500.000 dólares al año. Una oferta muy por encima de los precios del mercado”, dice.

Especializado en ciberseguridad, el joven ingeniero asegura que cuando recibe este tipo de mensajes “huele enseguida a estafa: “Pero hablé con otros desarrolladores que, en ese momento de la conversación, no vieron nada sospechoso”.

Una estafa muy estructurada, con diferentes servidores

Como en cualquier estafa en línea, el objetivo es conseguir que el objetivo haga clic en un enlace. Pero los escenarios utilizados son cada vez más elaborados. Según la alerta del FBI de septiembre de 2024, para hacer creíble la oferta, se puede estudiar el entorno profesional de la víctima, escudriñar sus redes sociales y utilizar fotos robadas o falsificadas.

Con ofertas casi diarias, Rémi se dio cuenta de que “tenían diferentes métodos para infectar el computador del desarrollador. Algunos envían directamente un archivo con líneas de código en las que se supone que estás trabajando, pero con líneas de código ocultas. O te dicen que tienes que ir a una entrevista técnica o también te envían un archivo”.

RFI pidió al joven ingeniero que le siguiera la corriente a los hackers. Se concertó una entrevista, utilizando una conocida aplicación de videoconferencia: “También tienen un software falso, en el que todo parece normal. Salvo que, en segundo plano, se está configurando su programa”.

Mensaje de un falso reclutador recibido por Rémi, ingeniero. «Hola Rémi, Buscamos un desarrollador de blockchain cualificado».

Mensaje de un falso reclutador recibido por Rémi, ingeniero. «Hola Rémi, Buscamos un desarrollador de blockchain cualificado». Imagen: Nicolas Rocca / RFI

Rémi y su socio respondieron a las preguntas del falso reclutador. Con la cámara apagada, un hombre de acento inconfundible pidió varias veces al joven que encendiera su webcam. Tras unas cuantas preguntas insistentes, dijo que sin la cámara la entrevista no podía seguir adelante, ya que su procedimiento de contratación debía realizarse a cara descubierta. El intercambio se interrumpió cuando el socio de Rémi preguntó: “En las líneas de código que me has enviado, ¿por qué hay un programa malicioso de Lazarus, ya sabes, el grupo de hackers norcoreano?

Para ganar credibilidad ante los expertos del sector, los ciberestafadores “recuperan un proyecto de código real, a menudo enorme con miles y miles de líneas, y añaden código malicioso en su interior”. Gracias a los numerosos códigos que recibió, Rémi pudo establecer un vínculo entre estos mensajes y el grupo Lazarus.

Prefiere mantener la cautela sobre los vínculos entre este grupo y Corea del Norte: «Lo que podemos decir es que el virus fue programado por Lazarus. Pero, ¿tienen algún proveedor de servicios?”. Es imposible saberlo. Sin embargo, el ingeniero describe la estafa como “muy estructurada, con diferentes servidores que se pueden desplegar muy fácilmente, en diferentes empresas, en diferentes redes, es una red internacional creo. Hacen mucho daño”.

Gracias a los códigos ocultos, un primer programa recupera información útil para el hacker e instala otro programa, “a partir de ahí, el hacker sabrá todo lo que haces en tu computadora. Tendrá acceso a todos tus monederos de criptomonedas, a los códigos de tus tarjetas y podrá llevarse todo tu dinero”.

Decenas de millones de dólares robados a entidades bancarias

Aunque el grupo de hackers está rodeado de mucho misterio, ya que no se sabe cuántos individuos lo componen ni desde dónde ha estado operando, sigue siendo uno de los más notorios de los ejércitos en la sombra del régimen de Kim Jong-un. Sus primeras actividades conocidas se remontan a 2009, con ataques contra las autoridades surcoreanas, pero fue en 2014 cuando las capacidades de Lazarus se revelaron al mundo. Pocos días antes del estreno de The Interview, una película satírica que se burla abiertamente del régimen norcoreano, Sony Pictures, el gigante cinematográfico, fue objeto de un ciberataque. Entre las exigencias de los hackers, que obtuvieron información sensible sobre los empleados de la compañía, estaba la retirada de la película, que ridiculiza a Kim Jong-un en persona.

Tras demostrar su capacidad para golpear a los grandes, Lazarus pasó a robar decenas de millones de dólares de instituciones bancarias. En 2016, llevaron a cabo un auténtico atraco digital, robando 81 millones de dólares del Banco Central de Bangladesh.

Aunque las actividades del grupo se han diversificado, con ataques contra empresas farmacéuticas durante la pandemia y grupos especializados en ciberseguridad, el robo de criptodivisas se está convirtiendo en el centro neurálgico de la guerra digital de Pyongyang. Frente a las sanciones de la ONU que perjudican gravemente su economía, esta actividad es una solución ideal.