La plataforma de trading BitMEX ha logrado frenar un ataque de ingeniería social atribuido al grupo Lazarus, el colectivo de hackers vinculado al régimen de Corea del Norte. En un comunicado emitido el viernes, la compañía confirmó que no solo frustró el intento, sino que también obtuvo nueva información sobre las técnicas internas del grupo, incluyendo errores operativos y posibles direcciones IP utilizadas por los atacantes.
Un intento encubierto desde LinkedIn y código malicioso detectado a tiempo
El ataque comenzó con un contacto a través de LinkedIn, donde un empleado de BitMEX fue abordado con una propuesta para colaborar en un supuesto proyecto de “NFT Marketplace” en Web3. El objetivo era que el empleado ejecutara un repositorio de código que contenía software malicioso.
Gracias a la rápida reacción del trabajador y al análisis del equipo de seguridad, se detectaron fragmentos sospechosos del código, que intentaban recolectar contraseñas e IPs de las víctimas. La amenaza fue neutralizada antes de ejecutarse, y el código fue rastreado hasta una variante conocida como BeaverTail, previamente relacionada con Lazarus por la firma Palo Alto Unit 42.
Revelaciones internas sobre Lazarus: IP expuesta y errores operativos
BitMEX afirmó que uno de los errores de seguridad operativa del atacante permitió exponer una dirección IP original, lo que podría facilitar el rastreo de su actividad. A partir de ahí, la empresa creó un programa de rastreo que monitorea nuevas infecciones y ha identificado al menos 10 cuentas asociadas al desarrollo o prueba del malware.
Según el informe, Lazarus parece haberse fragmentado en subgrupos con distintos niveles técnicos, lo que explicaría por qué sus técnicas de entrada (phishing) contrastan con sus habilidades avanzadas de post-explotación.
Un recordatorio urgente para el ecosistema cripto
Esta acción ocurre semanas después de que Coinbase sufriera una violación de datos significativa, lo que ha reactivado el debate sobre la seguridad cibernética en exchanges y los riesgos asociados a los requisitos de verificación de identidad (KYC).
BitMEX concluyó que su experiencia demuestra la necesidad de vigilancia continua frente a ataques sofisticados, especialmente en un entorno donde los actores estatales como Lazarus siguen representando amenazas persistentes.
