El intercambio de criptomonedas Kraken descubrió recientemente un sofisticado intento de penetración de un hacker norcoreano que solicitó la posición de ingeniería de la compañía.
En lugar de rechazar inmediatamente las solicitudes sospechosas, el equipo de seguridad de Kraken avanzó estratégicamente a los candidatos a través de múltiples fases de entrevistas, reuniendo una inteligencia importante sobre las técnicas de piratería con apoyo nacional en el proceso.
El 1 de mayo de 2025, Kraken reveló que lo que comenzó como un proceso de contratación de rutina pronto se convertiría en manipulación antiintelectual cuando los equipos de seguridad identifiquen patrones sospechosos en sus aplicaciones de reclutamiento.
Infiltración cibernética de Corea del Norte
Los socios de la industria advirtieron previamente a las compañías criptográficas sobre piratas informáticos norcoreanos que solicitan puestos, proporcionando una lista de direcciones de correo electrónico vinculadas al grupo de piratas informáticos, que coinciden con el correo electrónico de la solicitud del candidato.
“Desde el principio había algo sobre este candidato. En la primera llamada con el reclutador, se unieron con un nombre diferente al de su currículum y lo cambiaron rápidamente”.
“Más que sospechoso, los candidatos a veces cambian de voz, lo que indica que están siendo entrenados a través de entrevistas en tiempo real”.
El equipo de seguridad de Kraken utilizó métodos de recolección de inteligencia de código abierto (OSINT) para investigar a los solicitantes sospechosos. Su análisis reveló muchas contradicciones técnicas que apuntaban a los intentos de penetración patrocinados por el estado.
El estudio reveló que los candidatos utilizaron un escritorio Mac de colocación remoto al que se accede a través de una configuración VPN-A comúnmente utilizada para enmascarar ubicaciones y actividades de red.
Sus currículums están vinculados a un perfil de GitHub que contiene direcciones de correo electrónico publicadas en violaciones de datos anteriores, cuya identificación principal parece haber cambiado, tal vez utilizando detalles robados en casos de robo de identidad.
La contra-manipulación de Kraken
En lugar de rechazar inmediatamente la solicitud, el equipo de seguridad y reclutamiento de Kraken estudió el enfoque moviendo a los candidatos a través de un riguroso proceso de reclutamiento.
La entrevista final incluyó desafíos de validación sutiles, como pedir a los candidatos que recomenden en ciudades urbanas que reclaman restaurantes locales.
Este intento de penetración destaca la creciente amenaza de los piratas informáticos patrocinados por el estado de Corea del Norte dirigido al sector de criptomonedas.
El infame Grupo Lazarus está vinculado a un robo criptográfico por un total de más de $ 650 millones solo en 2024. Sus tácticas incluyen el despliegue de malware como el comerciante y la creación de identidades falsas para aplicar a los puestos de la compañía de criptomonedas.
A principios de este año, el Grupo Lazarus estaba vinculado a un robo récord de $ 1.5 mil millones del intercambio de criptomonedas Bybit, con piratas informáticos que ya lavaban alrededor de $ 300 millones de fondos robados.
“No confíes en mí, échale un vistazo. Este principio criptográfico central es más relevante que nunca”, aconsejó Percoco.
“Los ataques patrocinados por el estado no son solo problemas criptográficos. Estas son amenazas globales. La resiliencia comienza con la preparación operacional para resistir este tipo de ataques”.
Este caso sirve como una advertencia para las empresas de toda la industria. La mayor amenaza de seguridad puede no intentar comprometer su sistema desde el exterior.
