AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

## Lazarus Group amplía sus ataques a ejecutivos fintech y desarrolladores Web3 con campañas cross-platform

admin

### Introducción

En las últimas semanas, se han detectado dos campañas sofisticadas atribuidas al notorio grupo APT norcoreano Lazarus Group, dirigidas específicamente a ejecutivos del sector fintech y desarrolladores de Web3. Estas campañas han evidenciado una evolución significativa en las tácticas del grupo, con la utilización de cebos relacionados con colaboración empresarial y ofertas de empleo fraudulentas, así como el despliegue de malware multiplataforma, intensificando el riesgo para empresas y profesionales del sector financiero y tecnológico.

### Contexto del Incidente

Lazarus Group, ampliamente vinculado a actividades de cibercrimen financiero y operaciones de espionaje patrocinadas por el Estado norcoreano, lleva años explotando la infraestructura crítica de empresas de servicios financieros. En 2024, la diversificación de sus objetivos hacia perfiles clave del ecosistema Web3 y fintech confirma un interés estratégico por sectores con alta liquidez y potencial de acceso a activos digitales.

Los analistas han observado que Lazarus está combinando técnicas de ingeniería social —especialmente cebos de colaboración empresarial mediante plataformas como LinkedIn y Telegram, así como falsas oportunidades laborales— para comprometer a sus objetivos. Este enfoque se suma a la tendencia global de los ataques de spear phishing hiperespecializados contra altos ejecutivos y desarrolladores con acceso privilegiado a sistemas críticos y carteras de criptomonedas.

### Detalles Técnicos

Las campañas recientes se han apoyado en vectores de ataque cuidadosamente diseñados. El grupo ha empleado documentos maliciosos ofuscados en formatos PDF y Microsoft Office, que explotan vulnerabilidades conocidas (incluyendo CVE-2023-38831 en WinRAR y CVE-2017-0199 en Microsoft Office) para ejecutar cargas maliciosas.

Una vez comprometido el sistema, Lazarus despliega troyanos de acceso remoto (RATs) y backdoors multiplataforma (Windows, macOS y, en menor medida, Linux). Herramientas como Metasploit y Cobalt Strike han sido identificadas en la fase de post-explotación. Las TTPs observadas se alinean con técnicas MITRE ATT&CK como:

– **TA0001 (Initial Access):** Spear phishing con archivos adjuntos
– **T1566.001:** Spear phishing vía email
– **T1059:** Ejecución de comandos
– **T1027:** Ofuscación de archivos maliciosos
– **T1219:** Uso de herramientas legítimas para movimiento lateral

Entre los indicadores de compromiso (IoC) detectados se incluyen direcciones IP asociadas a infraestructuras conocidas de Lazarus, hash de archivos maliciosos, y dominios de C2 (command and control) camuflados en servicios cloud legítimos.

### Impacto y Riesgos

El impacto potencial de estas campañas es considerable. Según estimaciones de Chainalysis y datos de la Agencia de la Unión Europea para la Ciberseguridad (ENISA), Lazarus ha estado detrás de robos que superan los 1.700 millones de dólares en activos digitales desde 2021. En el contexto actual, la exposición de ejecutivos fintech y desarrolladores Web3 puede traducirse en el acceso no autorizado a fondos, propiedad intelectual, y credenciales privilegiadas, poniendo en peligro tanto la integridad financiera como la continuidad de negocio.

Además, la capacidad de operar de forma cross-platform incrementa la superficie de ataque, dificultando la detección y respuesta por parte de los equipos de seguridad. Esto es especialmente preocupante para startups y empresas tecnológicas que, en ocasiones, priorizan la agilidad sobre la seguridad en el desarrollo de productos y la gestión de accesos.

### Medidas de Mitigación y Recomendaciones

Para contrarrestar estas amenazas, los profesionales de la ciberseguridad deben reforzar los controles en varias capas:

1. **Segmentación de red y privilegios mínimos:** Limitar el movimiento lateral mediante la segmentación de infraestructuras y el uso de cuentas con privilegios mínimos.
2. **Actualización y parcheo:** Asegurar la actualización de herramientas y sistemas operativos, especialmente frente a vulnerabilidades como CVE-2023-38831 y CVE-2017-0199.
3. **MFA y monitorización de accesos:** Implementar autenticación multifactor y monitorizar accesos sospechosos en cuentas privilegiadas.
4. **Concienciación y formación:** Realizar campañas de formación sobre phishing avanzado, ingeniería social y amenazas específicas del sector.
5. **Detección de IoC y respuesta ante incidentes:** Integrar los IoC conocidos en sistemas SIEM y fortalecer los procedimientos de respuesta ante incidentes.

### Opinión de Expertos

Expertos como Juan Garrido, analista principal de amenazas en una entidad financiera española, advierten: “La sofisticación de Lazarus demuestra que la ciberseguridad en fintech y Web3 no puede abordarse solo desde una perspectiva tecnológica. Es vital invertir en formación específica y procesos de validación ante cualquier contacto no solicitado, especialmente cuando involucra propuestas de colaboración o contratación”.

Por su parte, Marta Ruiz, CISO de una startup de blockchain, recalca la importancia de la colaboración sectorial: “El intercambio de IoCs y tácticas entre empresas es imprescindible para anticipar los movimientos de actores tan persistentes como Lazarus”.

### Implicaciones para Empresas y Usuarios

Las empresas que gestionan activos digitales o desarrollan soluciones Web3 deben priorizar la protección de sus ejecutivos y equipos técnicos, establecer procedimientos estrictos de validación de identidades y analizar cualquier intento de contacto externo no verificado. El cumplimiento normativo con estándares como el GDPR y la inminente directiva NIS2 será clave; la exposición de datos personales y activos financieros puede acarrear graves sanciones y pérdida de confianza.

Para los usuarios, la concienciación sobre las tácticas de ingeniería social y la utilización de soluciones de seguridad endpoint robustas son imprescindibles ante la creciente sofisticación de los ataques.

### Conclusiones

Las nuevas campañas de Lazarus Group confirman la profesionalización y persistencia de los actores APT en el sector financiero y Web3. La adopción de malware multiplataforma, el uso de cebos personalizados y la explotación de vulnerabilidades conocidas exigen una respuesta coordinada, tanto a nivel técnico como organizativo. Solo mediante una defensa en profundidad, formación continuada y colaboración intersectorial será posible mitigar el impacto de amenazas tan avanzadas.

(Fuente: www.darkreading.com)