Grupo norcoreano UNC4899 ejecuta sofisticada campaña de compromiso cloud contra organización de criptomonedas
Introducción
El panorama de las amenazas avanzadas continúa evolucionando, con actores patrocinados por estados que perfeccionan sus tácticas para atacar sectores de alto valor económico. Recientemente, se ha identificado una campaña altamente sofisticada atribuida al grupo norcoreano UNC4899 —también conocido como Jade Sleet, PUKCHONG o Slow Pisces—, que ha comprometido infraestructuras cloud de una organización de criptomonedas en 2025, logrando el robo de millones de dólares en activos digitales. El incidente pone de manifiesto la creciente convergencia entre cibercrimen y operaciones de ciberespionaje impulsadas por intereses estatales, así como la necesidad de reforzar los controles de seguridad cloud en el sector financiero.
Contexto del Incidente
El grupo UNC4899 es un conocido actor de amenazas vinculado al régimen norcoreano, con un largo historial de campañas dirigidas contra entidades financieras, exchanges de criptomonedas y plataformas de activos digitales. Desde 2023, este actor ha incrementado su actividad sobre infraestructuras cloud, aprovechando la adopción masiva de servicios en la nube por parte de organizaciones que gestionan grandes volúmenes de criptodivisas. En este caso, la campaña detectada en 2025 se caracteriza por el uso de técnicas avanzadas de evasión y persistencia, lo que ha dificultado tanto la detección como la respuesta ante incidentes.
Detalles Técnicos
La investigación revela que los atacantes explotaron vulnerabilidades conocidas en entornos cloud híbridos, concretamente en instancias mal configuradas de AWS EC2 y Azure Virtual Machines. Se ha confirmado la explotación de la vulnerabilidad CVE-2024-31022 en el servicio de federación de identidades de AWS, que permite a atacantes no autenticados escalar privilegios y obtener tokens de acceso a recursos críticos.
El vector inicial de acceso fue un spear phishing dirigido, empleando documentos maliciosos con macros ofuscadas que, al ejecutarse, desplegaban una reverse shell mediante PowerShell. Posteriormente, los atacantes utilizaron credenciales robadas y técnicas de “living-off-the-land” (LotL), aprovechando herramientas legítimas como AWS CLI y Azure PowerShell para evitar la detección.
TTPs y Frameworks
La campaña se alinea con varias tácticas y técnicas del marco MITRE ATT&CK:
– Initial Access (T1566.001: Spearphishing Attachment)
– Privilege Escalation (T1078: Valid Accounts, T1068: Exploitation for Privilege Escalation)
– Defense Evasion (T1027: Obfuscated Files or Information, T1070.004: File Deletion)
– Credential Access (T1555: Credentials from Password Stores)
– Exfiltration (T1041: Exfiltration over C2 Channel)
Para el movimiento lateral, se observó el uso de herramientas de post-explotación como Cobalt Strike y, en fases avanzadas, la ejecución de scripts personalizados para automatizar la transferencia de fondos desde wallets comprometidas a direcciones controladas por el actor.
Indicadores de Compromiso (IoC)
Entre los IoC identificados destacan:
– Hashes de herramientas LotL personalizadas.
– IPs de C2 ubicadas en infraestructura de proveedores cloud en Asia.
– Direcciones de wallet de criptomonedas asociadas previamente a operaciones norcoreanas.
Impacto y Riesgos
El impacto económico de la campaña supera los 45 millones de dólares en criptodivisas sustraídas. Además del daño financiero directo, se ha producido una filtración significativa de datos internos y credenciales sensibles, comprometiendo la integridad de toda la cadena de suministro digital de la organización.
El incidente expone riesgos críticos para:
– La continuidad operativa de plataformas DeFi y exchanges.
– El cumplimiento normativo bajo la regulación GDPR y la inminente NIS2, que obliga a la notificación de incidentes de seguridad en infraestructura crítica.
– La reputación y confianza en el ecosistema de criptomonedas.
Medidas de Mitigación y Recomendaciones
A raíz del incidente, se recomiendan las siguientes acciones prioritarias:
1. Aplicación inmediata de parches para CVE-2024-31022 y revisión de configuraciones de identidades y permisos en AWS y Azure.
2. Implementación de autenticación multifactor (MFA) para todos los accesos privilegiados.
3. Monitorización continua de logs con herramientas SIEM, empleando reglas específicas para detectar patrones de uso anómalo de CLI y PowerShell.
4. Segmentación de redes y aplicación de políticas Zero Trust, limitando el acceso lateral en entornos cloud.
5. Simulaciones de phishing y formación continua para empleados en roles críticos.
Opinión de Expertos
Analistas de threat intelligence y responsables de seguridad en el sector coinciden en que “la sofisticación de UNC4899 representa un salto cualitativo en las operaciones de APT contra criptomonedas, combinando técnicas de ciberespionaje con la monetización directa de los ataques”. Según expertos de Mandiant y Recorded Future, el uso de herramientas LotL y la explotación de errores de configuración cloud subrayan la necesidad de auditorías de seguridad continuas y de una gestión proactiva de identidades.
Implicaciones para Empresas y Usuarios
El incidente refuerza la importancia de elevar la madurez de ciberseguridad en empresas del sector cripto y financiero. Aquellas organizaciones que no adopten frameworks como el CIS Controls v8 y no alineen sus procesos con los nuevos requisitos de NIS2, se exponen a sanciones y a una pérdida de confianza irreversible. Los usuarios finales también deben adoptar medidas de seguridad robustas, como el uso de wallets hardware y la verificación de autenticidad de comunicaciones.
Conclusiones
La campaña atribuida a UNC4899 demuestra el creciente interés de actores estatales por el sector de las criptomonedas y la necesidad de adaptar los controles de seguridad cloud ante amenazas cada vez más persistentes y sofisticadas. La colaboración entre inteligencia de amenazas, cumplimiento normativo y mejores prácticas técnicas será clave para mitigar riesgos en el futuro inmediato.
(Fuente: feeds.feedburner.com)