La Oficina Federal de Investigación de los Estados Unidos (FBI) vinculó formalmente el truco de Bybit de $ 1.5 mil millones de $ 1.5 mil millones con actores de amenaza de Corea del Norte, como el CEO de la compañía, Ben Zhou, declaró una «guerra contra Lázaro».
La agencia dijo que la República Popular Democrática de Corea (Corea del Norte) fue responsable del robo de los activos virtuales del intercambio de criptomonedas, atribuyéndolo a un clúster específico que rastrea como comerciante, que también se rastrea como Jade Sleet, Slow Piscis y UNC4899.
«Los actores comerciales están procediendo rápidamente y han convertido algunos de los activos robados a Bitcoin y otros activos virtuales dispersos en miles de direcciones en múltiples blockchains», dijo el FBI. «Se espera que estos activos se laven aún más y eventualmente se conviertan en moneda fiduciaria».
Vale la pena señalar que el clúster comerciante fue implicado previamente por las autoridades japonesas y estadounidenses en el robo de criptomonedas por valor de $ 308 millones de la compañía de criptomonedas DMM Bitcoin en mayo de 2024.
El actor de amenaza es conocido por atacar a las empresas en el sector Web3, a menudo engañando a las víctimas para que descarguen aplicaciones de criptomonedas con malware para facilitar el robo. Alternativamente, también se ha encontrado que orquesta campañas de ingeniería social con temas de empleo que conducen al despliegue de paquetes de NPM maliciosos.
Bybit, mientras tanto, ha lanzado un programa de recompensas para ayudar a recuperar los fondos robados, mientras llama a Exch para negarse a cooperar en la sonda y ayudar a congelar los activos.
«Los fondos robados se han transferido a destinos no rastreables o congelables, como intercambios, mezcladores o puentes, o convertidos en estables que pueden congelarse», dijo. «Necesitamos la cooperación de todas las partes involucradas para congelar los fondos o proporcionar actualizaciones sobre su movimiento para que podamos continuar rastreando».
La compañía con sede en Dubai también ha compartido las conclusiones de dos investigaciones realizadas por Sygnia y Verichains, vinculando el truco con el Grupo Lázaro.
«La investigación forense de los hosts de los tres firmantes sugiere que la causa raíz del ataque es un código malicioso que se origina en la infraestructura de Safe {Wallet}», dijo Sygnia.
VieChains señaló que «el archivo JavaScript benigno de App.Safe.Global parece haber sido reemplazado por código malicioso el 19 de febrero de 2025 a las 15:29:25 UTC, específicamente dirigido a Ethereum MultiSig Cold Wallet of BYBIT», y que el «Ataque se diseñó para activar durante la siguiente transacción por BIBit, que ocurrió el 21 de febrero, 2025, 2025, At 14:13 de UTC.»
Se sospecha que la cuenta de AWS S3 o CloudFront/API de SAFE. El global probablemente se filtró o comprometió, allanando así el camino para un ataque de la cadena de suministro.
En una declaración separada, la plataforma de billetera multisig Safe {Wallet} dijo que el ataque se llevó a cabo comprometiendo una máquina de desarrollador segura {billetera} que afectó una cuenta operada por BYBIT. La compañía señaló además que implementó medidas de seguridad adicionales para mitigar el vector de ataque.
El ataque «se logró a través de una máquina comprometida de un desarrollador seguro {billetera} que resulta en la propuesta de una transacción maliciosa disfrazada», dijo. «Lazarus es un grupo de piratas informáticos norcoreanos patrocinados por el estado que es bien conocido por los sofisticados ataques de ingeniería social contra las credenciales de desarrolladores, a veces combinados con hazañas de día cero».
Actualmente no está claro cómo se violó el sistema del desarrollador, aunque un nuevo análisis de Silent Push ha descubierto que el Grupo Lazarus registró la evaluación de Bybit de dominio (.) Com a las 22:21:57 del 20 de febrero de 2025, unas horas antes del robo de criptomonedas.
Los registros de Whois muestran que el dominio se registró utilizando la dirección de correo electrónico «Trevorgreer9312@gmail (.) Com», que ha sido identificada previamente como una persona utilizada por el Grupo Lazarus en relación con otra campaña denominada entrevista contagiosa.
«Parece que el atraco Bybit fue realizado por el grupo de actores de amenaza de la RPDK conocido como comerciante, también conocido como Jade Sleet y Slow Piscis, mientras que la estafa de la entrevista criptográfica está siendo dirigida por un grupo de actores de amenaza de la RPDK conocido como entrevista contagiosa, también conocida como famosa Chollima», dijo la compañía.
«Las víctimas generalmente se abordan a través de LinkedIn, donde están diseñadas socialmente para participar en entrevistas falsas de trabajo. Estas entrevistas sirven como punto de entrada para la implementación de malware específica, la recolección de credenciales y un mayor compromiso de los activos financieros y corporativos».
Se estima que los actores vinculados a Corea del Norte han robado más de $ 6 mil millones en activos criptográficos desde 2017. Los $ 1.5 mil millones robados la semana pasada superan los $ 1.34 mil millones que los actores de amenaza robaron de 47 atracones de criptomonedas en todos los 2024.
