TraderTraitor: Los Reyes del Robo Cripto

El 21 de febrero se desató el mayor robo de criptomonedas de la historia. Un grupo de hackers logró apoderarse de una billetera digital perteneciente a Bybit, el segundo mayor intercambio de criptomonedas del mundo, robando casi 1.5 mil millones de dólares en tokens digitales. Los delincuentes rápidamente movieron el dinero entre múltiples billeteras y servicios de criptomonedas para enmascarar sus actividades, antes de comenzar a retirar los fondos robados. Este atraco digital presentó las características típicas de una operación orquestada por uno de los subgrupos de hackers más elite de Corea del Norte.

A pesar de que Bybit logró mantenerse solvente mediante préstamos de criptomonedas y activó un programa de recompensas para rastrear los fondos sustraídos, el FBI rápidamente atribuyó el ataque a los hackers conocidos como TraderTraitor. Este grupo ya había sido relacionado con otros robos de criptomonedas notorios y violaciones de software de cadenas de suministro.

Michael Barnhart, un investigador de ciberseguridad especializado en Corea del Norte, señala que los hackers de este país, junto a sus pares de China, Rusia e Irán, son considerados una de las amenazas cibernéticas más sofisticadas que enfrentan las democracias occidentales. Las operaciones cibernéticas de Corea del Norte persiguen objetivos específicos, como financiar los programas nucleares del régimen. En este sentido, el robo de criptomonedas ha ganado protagonismo en los últimos años.

Durante al menos cinco años, el régimen totalitario de Kim Jong-un ha enviado trabajadores tecnológicos altamente calificados a infiltrarse en empresas de todo el mundo para ganar salarios que envían de vuelta a su país. En algunos casos, después de ser despedidos, estos trabajadores extorsionan a sus ex-empleadores amenazando con divulgar información sensible. Al mismo tiempo, los hackers norcoreanos, incluidos en el grupo más amplio llamado Lazarus, han robado miles de millones en criptomonedas de intercambios y empresas globales. TraderTraitor es una de las facciones dentro de Lazarus, que opera bajo la supervisión de la agencia de inteligencia de Corea del Norte, la Oficina General de Reconocimiento.

Este grupo, también conocido como Jade Sleet, Slow Pisces y UNC4899, se especializa en el robo de criptomonedas. Sherrod DeGrippo, directora de estrategia de inteligencia de amenazas en Microsoft, destaca el uso de una variedad de técnicas creativas para acceder a plataformas de blockchain y foros de comercio. Desde su aparición en 2022, TraderTraitor ha sido vinculado con múltiples robos significativos; uno de los más destacados fue el robo de 308 millones de dólares a la empresa japonesa DMM en marzo de 2024.

TraderTraitor lleva a cabo ataques focalizados a empleados de empresas Web3 a través de correos electrónicos de spear-phishing, normalmente dirigidos a quienes trabajan en el desarrollo de software. Estos hackers crean perfiles de sus objetivos y monitorean las plataformas de comercio más activas en la industria. En julio de 2023, GitHub, que pertenece a Microsoft, reveló que TraderTraitor había creado cuentas falsas en su plataforma y en otras redes sociales para atraer a desarrolladores y, finalmente, infectarlos con malware.

Desde el acceso a criptomonedas o billeteras digitales, el lavado de dinero sigue un patrón bien establecido. Para evitar que las billeteras sean congeladas, los hackers intercambian rápidamente los tokens robados por criptomonedas más comunes, como ether y bitcoin, que son más difíciles de rastrear. Además, se fragmentan los fondos en cantidades más pequeñas y se envían a múltiples billeteras, evitando el rastro de las transacciones.

Actualmente, TraderTraitor también está implicado en ataques a empresas de software de cadenas de suministro, siendo JumpCloud uno de los casos más notorios en junio de 2023. Esta modalidad de ataque puede ofrecer un acceso más sigiloso a sus verdaderos objetivos.

A medida que TraderTraitor ha atraído más atención, se ha observado una mejora en sus operaciones y en sus intentos por evadir la detección. Las recientes investigaciones han mostrado que han empleado malware capaz de eliminarse automáticamente para dificultar su identificación. A diferencia de los grupos de hackers rusos, que tienden a operar de manera más caótica, los grupos norcoreanos parecen estar mejor organizados, mostrando una notable capacidad para mantener la privacidad y persistencia.

La complejidad de las operaciones de hacking de Corea del Norte podría ser aún mayor de lo que se piensa. Expertos sugieren que los hackers de criptomonedas y los trabajadores de TI encubiertos podrían estar coordinando sus tácticas, evidenciando un solapamiento en sus métodos de operación.