El manual del Grupo Lazarus: Dentro de la operación de robo de criptomonedas de $6.75 mil millones de Corea del Norte
Cuando el desarrollador de Safe{Wallet} "Developer1" recibió lo que parecía ser una solicitud rutinaria el 4 de febrero de 2025, no tenía idea de que su Apple MacBook se convertiría en el punto de entrada para el mayor robo de criptomonedas de la historia. En diecisiete días, el Lazarus Group de Corea del Norte explotaría esa única computadora portátil comprometida para robar $1.5 mil millones de Bybit — más que el PIB total de algunas naciones.
Esto no fue una aberración. Fue la culminación de una evolución de una década que transformó a un grupo de hackers patrocinados por el estado en los ladrones de criptomonedas más sofisticados del mundo, responsables de al menos $6.75 mil millones en robos acumulados.
Las cifras que deberían mantener despierto a cualquier exchange
La escala del robo de criptomonedas por parte de Corea del Norte ha alcanzado niveles sin precedentes. Según el Crypto Crime Report de Chainalysis, los actores vinculados a la RPDC robaron $2.02 mil millones en criptomonedas solo en 2025 — un aumento del 51% interanual y una cifra que representa casi el 60% de todos los robos de criptomonedas a nivel mundial.
Pero la estadística más alarmante no es la cantidad total. Es la eficiencia. Mientras que el número total de incidentes de hackeo de Corea del Norte cayó un 74% en comparación con 2024, el valor robado por ataque se disparó. El Lazarus Group ahora representa el 76% de todos los compromisos a nivel de servicio en la industria de las criptomonedas, un aumento respecto a años anteriores cuando su participación era sustancialmente menor.
Este cambio representa lo que TRM Labs llama la "industrialización del robo de criptomonedas": menos ataques, mayores recompensas y una infraestructura de lavado de dinero capaz de procesar cientos de millones de dólares en 48 horas.
Anatomía del hack de Bybit: Una clase magistral de ingeniería social
El atraco a Bybit de febrero de 2025 reveló cuánto han evolucionado los hackers norcoreanos más allá de los métodos tradicionales de fuerza bruta. El FBI atribuyó el ataque a "TraderTraitor", una campaña cibernética maliciosa que se ha convertido en sinónimo del robo de criptomonedas patrocinado por el estado.
La cadena de ataque no comenzó con la explotación de código, sino con la manipulación humana.
Etapa 1: El Compromiso
Según el análisis post-mortem de Safe{Wallet}, los atacantes primero identificaron a un desarrollador con acceso elevado al sistema. A través de lo que parece haber sido una campaña de phishing dirigida — que probablemente involucraba ofertas de trabajo falsas u oportunidades de inversión — convencieron al desarrollador de descargar software malicioso. Una vez instalado, el malware le dio a Corea del Norte el control total sobre la máquina MacOS del administrador.
Etapa 2: La Infiltración Silenciosa
En lugar de robar fondos de inmediato, los atacantes pasaron semanas estudiando los patrones de transacciones de Bybit. Secuestraron tokens de sesión de AWS, eludiendo por completo la autenticación de múltiples factores. Modificaron el código del sitio web de Safe{Wallet} con una carga útil latente diseñada para activarse solo cuando fuera activada por transacciones específicas de Bybit.
Etapa 3: La Extracción
Cuando un empleado de Bybit abrió Safe{Wallet} para autorizar una transacción rutinaria a finales de febrero, el código latente se activó. Manipuló el proceso de aprobación de la transacción, redirigiendo aproximadamente 400,000 ETH — con un valor de $1.5 mil millones en ese momento — a billeteras controladas por los atacantes.
Todo el robo ocurrió en tiempo real, bajo las narices del equipo de seguridad de Bybit.
La máquina de lavado de 48 horas
Lo que distingue a las operaciones de criptomonedas de Corea del Norte de otras empresas cibercriminales es la velocidad y sofisticación de su infraestructura de lavado de dinero. TRM Labs informó que dentro de las 48 horas posteriores al hack de Bybit, al menos $160 millones ya habían sido procesados a través de canales ilícitos — con algunas estimaciones sugiriendo que la cifra superó los $200 millones al final del segundo día.
Este lavado rápido sigue lo que Chainalysis describe como un proceso de "múltiples olas" que dura aproximadamente 45 días:
Días 0-5: Capas inmediatas
Los fondos robados se dividen inmediatamente en cientos de billeteras intermedias. Los atacantes utilizan puentes cross-chain como THORChain y LI.FI para realizar "chain hopping" entre blockchains, convirtiendo Ethereum a Bitcoin, y luego a stablecoins como DAI. Esta fragmentación técnica y jurisdiccional hace que el seguimiento integral sea extremadamente difícil.
Días 6-10: Integración inicial
Los activos mezclados se convierten en USDT basado en Tron, que ofrece transacciones más rápidas y tarifas más bajas para el lavado de alto volumen. Los fondos se distribuyen en miles de nuevas direcciones, cada una con cantidades lo suficientemente pequeñas como para evitar activar los umbrales de monitoreo de los exchanges.
Días 20-45: Integración final
El USDT lavado llega a redes de brokers over-the-counter (OTC), predominantemente basados en China y el sudeste asiático. Estos brokers aceptan la criptomoneda y depositan la moneda fiduciaria equivalente en cuentas bancarias controladas por la RPDC a través de tarjetas UnionPay chinas.
Para el 20 de marzo de 2025 — menos de un mes después del hack de Bybit — el CEO Ben Zhou confirmó que los atacantes habían convertido el 86.29% del ETH robado a Bitcoin, demostrando la eficiencia de este proceso de lavado industrializado.
La evolución de Sony a los robos de miles de millones de dólares
Comprender al Grupo Lazarus requiere rastrear su evolución desde hacktivistas políticos hasta convertirse en los principales ladrones de criptomonedas del mundo.
2014: El ataque a Sony Pictures
El grupo ganó notoriedad internacional por primera vez al destruir la infraestructura de Sony Pictures en represalia por "The Interview", una película que representaba el asesinato de Kim Jong-un. Desplegaron malware de tipo wiper que borró datos en toda la red de la empresa mientras filtraban públicamente comunicaciones internas comprometedoras.
2016: El robo de SWIFT
Lazarus demostró ambiciones financieras al intentar robar casi $ 1.000 millones del Banco de Bangladesh a través del sistema bancario internacional SWIFT. Un error tipográfico evitó el robo total, pero aun así escaparon con $ 81 millones — una cifra que más tarde parecería modesta.
2017-2019: El giro hacia DeFi
A medida que las criptomonedas explotaron en valor, Lazarus se centró en atacar los exchanges. Los primeros ataques a Bithumb ($ 7 millones), Youbit y otras plataformas establecieron su reputación en el espacio cripto. Estos ataques solían emplear correos electrónicos de spear-phishing que contenían malware disfrazado de ofertas de trabajo o actualizaciones de seguridad.
2022: El ataque de $ 620 millones a Ronin Network
El hackeo de Ronin Network marcó un punto de inflexión. Los atacantes comprometieron a Sky Mavis (los desarrolladores de Axie Infinity) a través de una oferta de trabajo falsa en LinkedIn enviada a un ingeniero senior. Una vez dentro, se movieron lateralmente hasta obtener el control de suficientes claves de validador para drenar la red de $ 620 millones en ETH y USDC.
2023: La centralización de los objetivos
Lazarus cambió su enfoque de los protocolos descentralizados a los proveedores de servicios centralizados. En un período de tres meses, atacaron Atomic Wallet ($ 100 millones), CoinsPaid ($ 37,3 millones), Alphapo ($ 60 millones), Stake.com ($ 41 millones) y CoinEx ($ 54 millones). El FBI confirmó la atribución de Corea del Norte para cada ataque.
2024-2025: Robo industrializado
El hackeo de WazirX ($ 234,9 millones) y el robo de Bybit ($ 1,5 mil millones) representan la evolución actual: menos ataques, máximo impacto e infraestructura de blanqueo capaz de procesar miles de millones.
El factor humano: trabajadores de TI como caballos de Troya
Más allá del hackeo directo, Corea del Norte ha desplegado lo que los investigadores llaman la estrategia "Wagemole": insertar trabajadores de TI encubiertos dentro de empresas legítimas en todo el mundo.
Estos operativos obtienen puestos técnicos remotos utilizando identidades fraudulentas o a través de empresas fachada. Una vez contratados, funcionan como empleados legítimos mientras proporcionan inteligencia a los equipos de hacking. En algunos casos, facilitan directamente el robo proporcionando credenciales, desactivando sistemas de seguridad o aprobando transacciones fraudulentas.
Según Chainalysis, más de una docena de empresas de criptomonedas fueron infiltradas por operativos norcoreanos que se hacían pasar por trabajadores de TI solo en 2024. Según se informa, la brecha de DeFiance Capital ocurrió después de que operativos de Lazarus se infiltraran en la firma haciéndose pasar por desarrolladores de contratos inteligentes.
Esta estrategia representa un desafío fundamental para la industria: la seguridad perimetral tradicional se vuelve irrelevante cuando los atacantes ya tienen credenciales de acceso legítimas.
La campaña "ClickFake": ofertas de trabajo convertidas en armas
La campaña DEV#POPPER, lanzada en 2023 y todavía activa, demuestra la sofisticación evolutiva de la ingeniería social de Lazarus.
El ataque comienza en plataformas profesionales como GitHub o LinkedIn. Los atacantes se hacen pasar por reclutadores o colegas, involucrando a los objetivos en discusiones sobre oportunidades profesionales. Las conversaciones se trasladan gradualmente a plataformas de mensajería privada como WhatsApp, donde el fortalecimiento de la relación continúa durante semanas.
Finalmente, se invita a los objetivos a clonar repositorios de GitHub aparentemente legítimos — a menudo descritos como evaluaciones técnicas o herramientas relacionadas con el comercio de criptomonedas. Estos repositorios contienen dependencias maliciosas de Node Package Manager (npm) que instalan malware de puerta trasera una vez integradas.
El malware, apodado "BeaverTail", proporciona persistencia a largo plazo y capacidades de exfiltración de datos. Los atacantes pueden monitorear las pulsaciones de teclas, capturar capturas de pantalla, acceder a credenciales del navegador y, en última instancia, obtener las claves privadas necesarias para drenar las billeteras de criptomonedas.
Las iteraciones recientes han incluido archivos disfrazados de proyectos legítimos de Python (como "MonteCarloStockInvestSimulator-main.zip") que eluden la mayoría de las detecciones de antivirus aprovechando la biblioteca legítima pyyaml para la ejecución remota de código.
Por qué importan los miles de millones robados
Las criptomonedas robadas por el Grupo Lazarus no desaparecen en cuentas personales. Según el análisis del Wilson Center, los fondos sirven como ingresos críticos para los programas de armamento de Corea del Norte.
El informe del MSMT (Ministerio de Seguridad del Estado) concluye que este flujo de ingresos es esencial para "adquirir materiales y equipos para los programas ilegales de armas de destrucción masiva y misiles balísticos de la RPDC".
Esta conexión eleva la seguridad de las criptomonedas de una preocupación financiera a un asunto de seguridad internacional. Cada hackeo exitoso financia el desarrollo de armas que amenazan la estabilidad regional y global.
Defensa contra atacantes a nivel de estado nación
El hackeo a Bybit reveló que incluso los exchanges con grandes recursos y seguridad sofisticada siguen siendo vulnerables. Varias lecciones surgen del análisis de la metodología de Lazarus:
La capa humana primero
La mayoría de los grandes hackeos comienzan con ingeniería social, no con exploits técnicos. Las organizaciones deben implementar protocolos de verificación rigurosos para las comunicaciones externas, particularmente aquellas que involucran ofertas de trabajo, oportunidades de inversión o solicitudes de colaboración técnica.
Asumir el compromiso
La estrategia "Wagemole" significa que los actores internos ya pueden estar comprometidos. La autorización de múltiples partes para transacciones significativas, la separación de funciones y el monitoreo continuo del comportamiento se vuelven esenciales.
Módulos de Seguridad de Hardware
La gestión de claves basada en software — incluso con billeteras multi-firma — resultó insuficiente contra Lazarus. Los módulos de seguridad de hardware (HSM) que requieren interacción física para la autorización de transacciones crean barreras adicionales.
Límites de velocidad de transacción
La capacidad de drenar $ 1.5 mil millones en una sola transacción representa un fallo de diseño fundamental. Implementar límites de velocidad y retiros de gran tamaño con retraso temporal puede proporcionar ventanas de detección incluso cuando los controles primarios fallan.
Integración de análisis forense de blockchain
La integración en tiempo real con plataformas de análisis de blockchain puede señalar patrones de transacciones sospechosas y rastrear fondos a medida que se mueven a través de redes de lavado. La detección temprana aumenta la probabilidad de recuperación.
El camino a seguir
La operación de robo de criptomonedas de Corea del Norte ha evolucionado de un hackeo oportunista a un crimen financiero industrializado y patrocinado por el estado. El robo acumulado de $ 6.75 mil millones del grupo demuestra que los enfoques de seguridad tradicionales son insuficientes contra adversarios decididos a nivel de estado nación.
La industria se enfrenta a una elección cruda: o bien implementar medidas de seguridad acordes con la amenaza, o seguir sirviendo como un cajero automático para actores estatales hostiles. Dada la escala de los fondos en juego y su uso final en el desarrollo de armas, esta no es simplemente una decisión comercial — es una cuestión de seguridad global.
Para los exchanges, custodios y protocolos DeFi, el libro de jugadas del Lazarus Group debería servir como una llamada de atención. Los atacantes han demostrado paciencia (pasando semanas dentro de sistemas comprometidos), sofisticación (eludiendo la MFA mediante el secuestro de tokens de sesión) y eficiencia (lavando cientos de millones en 48 horas).
La pregunta no es si los hackers de Corea del Norte intentarán otro atraco de mil millones de dólares. La pregunta es si la industria estará mejor preparada cuando lo hagan.
BlockEden.xyz proporciona infraestructura de blockchain de grado empresarial con monitoreo de seguridad integrado y detección de anomalías. Nuestros endpoints RPC admiten la integración de inteligencia de amenazas en tiempo real para ayudar a proteger sus aplicaciones Web3. Explore nuestro API Marketplace para construir sobre bases seguras.