en la criptomoneda ecosistema, las monedas tienen una historia, rastreada en las cadenas de bloques inmutables que sustentan su economía. La única excepción, en cierto sentido, son las criptomonedas recién generadas por el poder computacional de su propietario. Por lo tanto, parece que los piratas informáticos de Corea del Norte han comenzado a adoptar un nuevo truco para lavar las monedas que roban a las víctimas en todo el mundo: pagan sus monedas sucias y robadas en servicios que les permiten extraer otras nuevas e inocentes.
Hoy, la firma de seguridad cibernética Mandiant publicó un informe sobre un prolífico grupo de piratería patrocinado por el estado de Corea del Norte que ahora se llama APT43, a veces conocido con los nombres de Kimsuky y Thallium. El grupo, cuyas actividades sugieren que sus miembros trabajan al servicio de la agencia de espionaje de la Oficina General de Reconocimiento de Corea del Norte, se ha centrado principalmente en el espionaje, la piratería de grupos de expertos, académicos y la industria privada de EE. UU. a Europa, Corea del Sur y Japón desde hace menos de 2018, principalmente con campañas de phishing diseñadas para recopilar credenciales de las víctimas y plantar malware en sus máquinas.
Al igual que muchos grupos de piratas informáticos de Corea del Norte, APT43 también mantiene una actividad secundaria en el delito cibernético centrado en las ganancias, según Mandiant, robando cualquier criptomoneda que pueda enriquecer al régimen de Corea del Norte o incluso simplemente financiar las propias operaciones de los piratas informáticos. Y a medida que los reguladores de todo el mundo han reforzado su control sobre los intercambios y los servicios de lavado que los ladrones y piratas informáticos utilizan para cobrar monedas contaminadas por delincuentes, APT43 parece estar probando un nuevo método para cobrar los fondos que roba mientras evita que sean incautados o congelados: Paga esa criptomoneda robada en «servicios de hashing» que permiten a cualquier persona alquilar tiempo en computadoras utilizadas para extraer criptomonedas, recolectando monedas recién extraídas que no tienen vínculos aparentes con actividades delictivas.
Ese truco de minería le permite a APT43 aprovechar el hecho de que la criptomoneda es relativamente fácil de robar mientras evita el rastro forense de evidencia que deja en las cadenas de bloques, lo que puede dificultar el cobro de los ladrones. “Rompe la cadena”, dice Joe Dobson, analista de inteligencia de amenazas de Mandiant. “Esto es como un ladrón de bancos que roba plata de la bóveda de un banco y luego va a un minero de oro y le paga al minero con plata robada. Todo el mundo está buscando la plata mientras el ladrón de bancos anda por ahí con oro recién extraído”.
Mandiant dice que comenzó a ver signos de la técnica de lavado basada en la minería de APT43 en agosto de 2022. Desde entonces, ha visto decenas de miles de dólares en criptomonedas fluir hacia servicios de hashing, servicios como NiceHash y Hashing24, que permiten a cualquier persona comprar y vender potencia informática. para calcular las cadenas matemáticas conocidas como «hashes» que son necesarias para extraer la mayoría de las criptomonedas, de lo que cree que son las billeteras criptográficas APT43. Mandiant dice que también ha visto fluir cantidades similares a las billeteras APT43 de los «grupos» de minería, servicios que permiten a los mineros contribuir con sus recursos de hashing a un grupo que paga una parte de cualquier criptomoneda que el grupo extrae colectivamente. (Mandiant se negó a nombrar los servicios de hash o los grupos de minería en los que participó APT43).
En teoría, los pagos de esos grupos deberían ser limpios, sin vínculos con los piratas informáticos de APT43; después de todo, ese parece ser el objetivo del ejercicio de lavado del grupo. Pero en algunos casos de descuido operativo, Mandiant dice que descubrió que los fondos, sin embargo, estaban mezclados con criptomonedas en billeteras que había identificado previamente a partir de su seguimiento de años de campañas de piratería APT43.