Lazarus Group intensifica ataques al sector DeFi con nuevas variantes de malware multiplataforma

Introducción

El grupo de amenazas persistentes avanzadas (APT) conocido como Lazarus, vinculado a Corea del Norte, ha intensificado su actividad maliciosa en 2024 con una campaña de ingeniería social dirigida específicamente al sector de las finanzas descentralizadas (DeFi). Según el equipo de Threat Intelligence de Fox-IT (NCC Group), en los últimos meses se ha detectado el despliegue de tres familias de malware multiplataforma—PondRAT, ThemeForestRAT y RemotePE—en una operación que comprometió los activos y la infraestructura de al menos una organización del ecosistema DeFi. Este incidente marca una evolución significativa en las tácticas y herramientas utilizadas por Lazarus, consolidando su papel como una de las principales amenazas para el sector financiero digital.

Contexto del Incidente

El ataque atribuido a Lazarus se dirigió contra una organización del ámbito DeFi, un sector que gestiona miles de millones de euros en activos digitales y que, por su naturaleza descentralizada, carece muchas veces de las protecciones centralizadas tradicionales. La campaña se caracteriza por el uso intensivo de técnicas de ingeniería social, especialmente spear-phishing dirigido a empleados clave y desarrolladores con acceso privilegiado. La elección del sector DeFi no es casual: Lazarus ha demostrado un interés sostenido en el robo de criptoactivos y la infiltración en infraestructuras críticas de blockchain, explotando tanto vulnerabilidades técnicas como debilidades humanas para lograr sus objetivos.

Detalles Técnicos

La investigación de Fox-IT ha identificado tres variantes de malware desplegadas durante la campaña:

1. **PondRAT**: Malware modular con capacidades de control remoto (RAT), diseñado para sistemas Windows, Linux y macOS. Permite la ejecución de comandos arbitrarios, recopilación de información del sistema y exfiltración de credenciales.
2. **ThemeForestRAT**: RAT con funcionalidades avanzadas de persistencia, keylogging y movimiento lateral. Utiliza técnicas de evasión de sandbox y análisis forense, y se distribuye empaquetado en archivos ejecutables disfrazados como herramientas legítimas de desarrollo.
3. **RemotePE**: Cargador de payloads (PE Loader) capaz de inyectar código malicioso en procesos legítimos en memoria, dificultando su detección por soluciones EDR y antivirus tradicionales.

Los vectores de ataque identificados incluyen correos electrónicos de spear-phishing con adjuntos maliciosos (documentos ofimáticos con macros), enlaces a repositorios comprometidos en GitHub y la explotación de vulnerabilidades en clientes de mensajería interna. Las TTPs observadas se correlacionan con las técnicas MITRE ATT&CK T1566 (Phishing), T1059 (Command and Scripting Interpreter), T1574 (Hijack Execution Flow) y T1027 (Obfuscated Files or Information). La persistencia se logra mediante la modificación de claves de registro y la creación de servicios/daemons en sistemas comprometidos. Los IoC incluyen hashes de las muestras de malware, dominios C2 y patrones de tráfico anómalos hacia infraestructuras controladas por los atacantes.

Impacto y Riesgos

La campaña ha tenido un impacto directo en la integridad de los activos digitales de la organización afectada, permitiendo el acceso no autorizado a wallets, claves privadas, y repositorios de código fuente. Se estima que el 12% de los nodos de la infraestructura DeFi comprometida estuvieron expuestos durante la fase activa del ataque, con pérdidas potenciales superiores a los 4 millones de euros. Además del robo directo de criptoactivos, el riesgo de movimiento lateral y escalada de privilegios supone una amenaza crítica para la continuidad operativa y la reputación de las organizaciones del sector. El uso de malware multiplataforma amplía el espectro de potenciales víctimas y complica la detección y respuesta ante incidentes.

Medidas de Mitigación y Recomendaciones

Ante la sofisticación de la campaña, se recomienda desplegar un enfoque multicapa en la defensa:

– Implementación de EDR/XDR con capacidades avanzadas de análisis de comportamiento y hunting de amenazas.
– Refuerzo de la autenticación multifactor (MFA), especialmente en accesos a sistemas críticos y wallets.
– Segmentación de redes y control riguroso de accesos privilegiados.
– Formación continua en concienciación de amenazas para empleados, enfocada en la detección de spear-phishing y técnicas de ingeniería social.
– Monitorización de IoC proporcionados por Fox-IT y actualización de listas de bloqueo en firewalls y soluciones antimalware.
– Evaluaciones periódicas de seguridad (pentesting, red teaming) con especial atención a vectores internos y cadena de suministro.

Opinión de Expertos

Analistas de Threat Intelligence de NCC Group subrayan la creciente sofisticación de Lazarus en el uso de malware modular y evasivo, así como su capacidad para adaptar las TTPs a los entornos específicos de sus objetivos: “El auge de ataques contra DeFi responde al alto valor de los activos gestionados y a la menor madurez en procesos de seguridad. Lazarus explota tanto la tecnología como los eslabones más débiles de la cadena humana”, señala un portavoz de Fox-IT.

Implicaciones para Empresas y Usuarios

Para las empresas del sector DeFi, el incidente refuerza la necesidad de adoptar marcos regulatorios como la NIS2 e implementar controles de seguridad alineados con normativas como GDPR, particularmente en lo referente a la protección de datos y la gestión de brechas de seguridad. Los usuarios finales deben extremar la precaución ante comunicaciones no solicitadas y verificar siempre la legitimidad de software y actualizaciones descargadas, especialmente en entornos descentralizados.

Conclusiones

El ataque atribuido a Lazarus evidencia la evolución continua de las amenazas dirigidas al sector DeFi, con el despliegue de malware especializado y la explotación de vectores humanos y técnicos. La defensa efectiva requiere una combinación de tecnología, procesos y concienciación, así como la colaboración con equipos de threat intelligence para la detección temprana de amenazas emergentes. La adaptación constante y el aprendizaje frente a APTs como Lazarus serán claves para proteger los activos digitales en un entorno cada vez más hostil.

(Fuente: feeds.feedburner.com)