BlueNoroff : La Fuerza Oculta del Grupo Lazarus en el Fraude Financiero y Robo de Criptomonedas.

En el vasto y oscuro mundo de los cibercriminales, los cuales son incalculables el día de hoy, debido a la evolución que estos mismos tienen, existe uno en particular que ha emergido como unas de las organización mas notorias, las cuales vienen operando en las sombras por ya varios años desde que fue descubierta por primera vez en el 2009. Durante las investigaciones se obtuvo conocimiento de que este colectivo tiene fuertes vinculos con el regimen de Corea del Norte. Originado en este país, Lazarus ha sido vinculado a una serie de ataques cibernéticos altamente sofisticados que han perturbado redes digitales de todo tipo de infraestructura, como por ejemplo, financieras, tecnológicas, gobiernos y entreteniendo (Sony Pictures). Estos ataques cibernéticos no solo han robado secretos de estado, sino que tambien han causado estragos económicos y sociales significativos.

En el mundo del ciberdelito moderno, no es sorprendente que grupos como Lazarus, conocidos por su alto nivel de sofisticación y alcance global, estructuren sus actividades a través de varias subdiviones especializadas. Cada una de estas unidades se enfoca en distintos tipos de ciberataques y objetivos, permitiendo al grupo en su conjunto mantener una alta eficiencia y efectividad. Finalmente, despues de analizar la información que he podido recopilar relaciona con Lazarus, los cuales han sido informes técnicos, artículos, documentaciones de investigaciones y presentaciones, he podido determinar tres subgrupos principales dentro de esta organización, cada uno con su especialización y objetivos estratégicos definidos. Estos subgrupos son:

• APT38 :   Es un subgrupo de Lazarus Group que se especializa en ciberdelitos financieros altamente sofisticados. Este grupo se enfoca en ataques dirigidos principalmente a instituciones financieras, incluidos bancos, sistema de transferencia bancarias (SWIFT), asi como el robo de criptomonedas. Se distingue de sus similares por su habilidad de realizar operaciones de gran escala que no solo buscan el robo directo de fondos, sino también de la maniputación de las transacciones financieras internacionales. Sus actividades son notables por el uso de tácticas que permiten acceso prolongado a las redes de sus objetivos, lo que implica un entendimiento avanzado de dichos sistemas financieros globales y una capacidad para realizar operaciones de intrusión profuncdamente encubiertas y técnicamente complejas. Todas estas características particulares de APT38 lo convierten en uno de los actores mas peligrosos y eficaces en el panorama de la estructura interna de Lazarus.

• Andariel :  Es un subgrupo de Lazarus Group, especializado en la guerra cibernética y el espionaje militar, centrándose en contratistas de defensa y agencias gubernamentales alrededor del mundo. Su principal objetivo es infiltrarse en sistemas altamente seguros para extraer información clasificada, interrumpir operaciones estratégicas y debilar la seguridad de sus objetivos. Durante sus operaciones utilizan tácticas avanzadas de hacking para obtener acceso prolongado a redes gubernamentales y de defensa, exfiltrando datos críticos que pueden proporcionar ventajas estratégicas a nivel geopolítico y tecnologíco.  Estas intrusiones han llegado a comprometer información militar confidencial y sistemas gubernamentales críticos, representando un serio riesgo para la seguridad nacional de los países afectados. Andariel ha demostrado capacidad para comprometer infraestructuras militares y tecnológicas, lo que lo convierte en una amenaza significativa en el ámbito del ciberespionaje y la seguridad internacional.

Con base en lo ya mencionado sobre APT38 y Andariel, ahora nos dirigimos a otro aspecto crucial del arsenal cibernético de Lazarus: BlueNoroff. Este grupo tiene su propia especialización y modus operandi que complementa y contrasta con los objetivos y métodos de APT38 y Andariel, brindando una perspectiva más integral de las capacidades de Lazarus Group en el ámbito cibernético global.

BlueNoroff, es un subgrupo dentro del amplio espectro de Lazarus Group, se centra especificamente en el fraude finaciero y el robo de criptomonedas. Este equipo se destaca por su capacidad para manipular a usuarios y siempre a través de técnicas de ingeniería social y phishing avanzado, con el objetivo de acceder a activos financieros digitales. Sus métodos que han empleado en durante su estancia en la escena del cibercrimen han sido siempre evitando intrusiones directas en los sistemas bancarios, optando por explotar vulnerabilidades en el manejo y seguridad de criptomonedas. Estas estrategias les han permitido realizar operaciones de robo con un perfil bajo pero de alto impacto, manteniendose así como una de las amenazas y elusivas en el ámbito del ciberdelito financiero.

Tras analizar en profundidad la infraestructura de Lazarus Group, podemos concluir que la estructura interna de Lazarus Group está conformada por tres subgrupos especializados que operan con objetivos distintos pero complementarios. APT38 se enfoca en el cibercrimen financiero, atacando bancos y la red SWIFT; BlueNoroff lleva a cabo fraudes financieros y robos de criptomonedas mediante ingeniería social; y Andariel se dedica al espionaje militar, apuntando a contratistas de defensa y agencias gubernamentales. Esta división estratégica permite a Lazarus maximizar su impacto en distintos frentes, consolidándose como una de las amenazas más sofisticadas en el panorama global de la ciberseguridad.

Contacto Inesperado: Lazarus, Ransomware y la Comunicación entre Grupos Cibercriminales.

En las películas de ciencia ficción, suele ocurrir que un enigmático criminal se comunique con un detective para revelarle información clave sore alguna clase de conspiración, desatando una intrincada red de secretos, misterios y giros inesperados. La escena suele estar cargada de tensión: un mensaje cifrado, una voz distorsionada o un encuentro en la penumbra. Pero, ¿qué pasa cuando ese tipo de interacción deja de ser ficción y ocurre en la realidad?

En el año 2022, recibí un mensaje inesperado en modo privado, lo cual me resulto un poco extraño ya que normalmente no era el medio común por el cual me comunica con colegas o amigos. Para empezar, la persona al otro lado de la línea se presentó como un operador de ransomware que, en ese momento, estaba particularmente activo, inclusive estaba en el foco de varias investigaciones previas por sus recientes operaciones. Sin más rodeos, me preguntó si estaba interesado en obtener información sobre un grupo denominado BlueNoroff, que, según muchos investigadores de ciberseguridad, era una unidad interna del temido Grupo Lazarus. No todos los días un actor de amenazas de alto perfil se ofrece a compartir detalles sobre las operaciones de sus colegas o conocidos. Intrigado, le respondí que cualquier información que pudiera proporcionar sería valiosa para una futura investigación o publicación.

Según su testimonio, BlueNoroff estaba compuesto por seis miembros, de los cuales cuatro eran de nacionalidad norcoreana y dos de nacionalidad china. Además, su base de operaciones se encontraba en China, lo que indicaba que operaban desde un territorio estratégico para sus ataques.

Me explicó que el grupo se especializaba en tres actividades principales:

• Robo de criptomonedas: Atacando billeteras digitales, plataformas de intercambio y otros puntos vulnerables dentro del ecosistema cripto.

• Fraude financiero: Orquestando esquemas para desviar grandes sumas de dinero a través de técnicas avanzadas de manipulación.

• Explotación de creadores de NFT's: Aunque no quedó del todo claro el método exacto, su objetivo parecía ser sacar beneficios de la fiebre de los NFT, ya sea a través de estafas, manipulación de mercados o robo de activos digitales.

Pero eso no fue todo. También me mencionó que BlueNoroff recien habia culminado una operación  importante y, como medida de seguridad, habían comenzando a desmantelar toda su infraestructura, transfiriendo cualquier tipo de activo y eliminando algunos recursos que aún se encuentren disponibles en dicha plataforma. Sin embargo, me aseguró que aún quedaba activo un último servidor de comando y control (C2) en algún lugar remoto.

Para respaldar su relato, me compartió capturas de pantalla de una C2 que se encontraba disponible pero ya estaba inoperativo. En ella se puede visualizar algunas transacciones recientes en Ethereum, con montos significativamente altos. La información parecía legítima: movimientos de criptomonedas que solo alguien con acceso interno podría conocer. También me proporcionó la dirección del servidor aún activo, lo que me llevó a investigar más a fondo.

Registro de actividad de BlueNoroff, mostrando transacciones automatizadas de Ethereum (ETH) mediante bots, utilizados para desviar fondos y manipular billeteras digitales.

Registro de actividad de BlueNoroff, evidenciando el uso de bots automatizados para desbloquear y transferir fondos a billeteras digitales controladas por el grupo.

Registro de actividad de BlueNoroff, mostrando la manipulación de transacciones para redirigir hasta 246.08 ETH (aproximadamente $547,800 USD) a billeteras controladas por el grupo.

Cuando pude tener acceso a la infraestructura restante, el servidor ya estaba prácticamente vacío. No quedaban usuarios activos, ni datos de valor, solo una estructura en ruinas esperando ser apagada definitivamente. Era evidente que el grupo había cubierto sus huellas y estaba en proceso de desaparecer. Las unicas evidencias que encontré fueron 4 wallets que habían sido utilizados para realizar operaciones en algunos casos entre ellas mismas.

Durante el transcurso de esta investigación, hemos revelado exhaustivamente la estructura interna de BlueNoroff, su composición jerárquica, tal vez cantidad de los mienbros que la componen y los objetivos estratégicos que persigue dentro del ecosistema cibercriminal. Este subgrupo de Lazarus Group, compuesto por actores de Corea del Norte y China, opera con una precisión meticulosa, combinando tácticas avanzadas de fraude financiero, robo de criptomonedas y explotación de mercados que en su momento eran emergentes como los NFTs.

La imagen sintetiza la red de conexiones que sostienen sus operaciones, destacando sus vínculos con infraestructuras de comando y control, transacciones ilícitas en Ethereum, y su relación con otras unidades de Lazarus como APT38 y Andariel. Esta interconexión sugiere que BlueNoroff no actúa de manera aislada, sino como parte de una red de cooperación más amplia dentro del cibercrimen organizado.

Una Red Cibercriminal Más Conectada de lo que Pensamos - Redes Secretas y Alianzas en la Ciberdelincuencia Global

Después de haber tenido esta experiencia (la cual no es la primera vez que me ocurre), me ha hecho pensar en un panorama mucho más grande: los grupos cibercriminales no operan en completo aislamiento. Existen redes de comunicación internas entre actores de alto perfil, como lo son operadores o mienbros de un grupo de  ransomware, grupos de APT (Advanced Persistent Threats) y otros cibercriminales independientes que son de alto perfil. Esto nos hace pensar que entre ellos se conocen, que cada uno conoce las habilidades operativas de otros, que comparten información y, en muchos casos, colaboran entre ellos.

Así como las fuerzas de la ley y los investigadores de ciberseguridad trabajan en conjunto para desmantelar amenazas cibernéticas, los criminales también se organizan, comparten información y forman alianzas estratégicas. Este caso es un recordatorio de que el cibercrimen no es un fenómeno aislado, sino una red global en constante evolución, donde cada pieza de información cuenta y cada dato puede ser clave para entender su funcionamiento.

Hemos llegado al final de esta breve pero reveladora investigación sobre BlueNoroff, una de las unidades más sofisticadas dentro del Grupo Lazarus. Sin embargo, BlueNoroff es solo una pieza dentro del complejo aparato cibernético de Corea del Norte.

En futuras publicaciones, profundizaré en el Comando Cibernético de Corea del Norte, explorando su estructura, las unidades que lo conforman y cómo ha evolucionado en los últimos años hasta convertirse en una amenaza persistente en el ciberespacio.

Esto es solo el inicio de un análisis más amplio sobre el cibercrimen global. ¡Nos vemos en la próxima entrega!