Ciudad de México,
Noelia Acuña
Crédito foto: NA
En un reciente informe de seguridad cibernética, se reveló que un grupo de piratas informáticos norcoreanos explotó una vulnerabilidad crítica en navegadores basados en Chromium para llevar a cabo un sofisticado ataque dirigido a la industria de las criptomonedas. Aprovechando el fallo de seguridad en el motor de JavaScript y WebAssembly V8, conocido como CVE-2024-7971, este grupo logró acceder de forma remota a sistemas afectados, permitiéndoles robar criptomonedas.
Dicho hallazgo fue revelado por Microsoft en un informe y los investigadores de ciberseguridad de Microsoft detectaron por primera vez las actividades de estos atacantes el 19 de agosto. El grupo responsable, identificado como Citrine Sleet, es conocido por sus operaciones contra la industria de las criptomonedas.
La vulnerabilidad en cuestión, denominada CVE-2024-7971, afecta el motor de JavaScript y WebAssembly V8 de Chromium, permitiendo la ejecución remota de código. Al ser una vulnerabilidad de día cero, Google no tenía conocimiento y no pudo lanzar una solución antes de ser explotada y corrigió la falla recién el 21 de agosto. En ese sentido, Scott Westover, portavoz de Google, confirmó a TechCrunch que el error fue corregido, pero no ofreció detalles adicionales sobre el incidente.
Por su parte, Microsoft notificó a las organizaciones afectadas, aunque no especificó la cantidad ni la identidad de las víctimas. Citrine Sleet, un grupo basado en Corea del Norte, tiene como objetivo principal las instituciones financieras y las personas involucradas en la criptomoneda para obtener beneficios económicos. Este grupo utiliza tácticas de ingeniería social avanzadas, incluyendo la creación de sitios web falsos donde se imitan plataformas legítimas de comercio de criptomonedas.
A través de estos sitios, distribuyen ofertas de empleo falsas o inducen a las víctimas a descargar billeteras de criptomonedas o aplicaciones comerciales comprometidas. El malware principal utilizado por Citrine Sleet es el troyano AppleJeus y recolecta información para tomar control de los activos criptográficos de las víctimas. Dicho ataque comenzó con el engaño de una víctima para que visitara un dominio bajo el control de los atacantes y, a partir de ahí, los piratas informáticos aprovecharon otra vulnerabilidad en el núcleo de Windows para instalar un rootkit, un malware que proporciona acceso profundo al sistema operativo.
Este tipo de ataque no es una novedad para el régimen norcoreano y, según un informe del Consejo de Seguridad de la ONU, Corea del Norte robó aproximadamente 3 mil millones de dólares en criptomonedas entre 2017 y 2023. El régimen de Kim Jong Un, sujeto a severas sanciones internacionales, recurrió al robo de criptomonedas como fuente de financiación para su programa de armas nucleares.
Finalmente, Microsoft identificó que el rootkit FudModule, empleado en este ataque, también fue utilizado por otros actores de amenazas norcoreanos, como Diamond Sleet. Este rootkit sofisticado permite manipular el núcleo del sistema operativo para evadir la detección. Las técnicas empleadas por Citrine Sleet se alinean con las observadas en ataques previos atribuidos a grupos similares, y el uso compartido de herramientas entre estos grupos sugiere una colaboración en la explotación de vulnerabilidades.