Un grupo de amenazas patrocinado por el estado está ejecutando una sofisticada cadena de ataques contra la industria de las criptomonedas, combinando la explotación de aplicaciones web con el robo masivo de credenciales en Amazon Web Services (AWS).
El sector de las finanzas descentralizadas se enfrenta a un adversario metódico y letalmente silencioso. Hoy, 5 de marzo de 2026, se reporta una campaña coordinada que ha logrado vulnerar múltiples niveles de la cadena de suministro criptográfica, con toda la evidencia apuntando a operaciones de piratería informática patrocinadas por el estado de Corea del Norte (DPRK).
Un Vistazo Raro a la Máquina de Hackeo
El descubrimiento de esta campaña fue posible gracias a un inusual error operativo por parte de los propios atacantes. Durante dos semanas en el mes de enero de 2026, los investigadores lograron identificar y acceder a directorios abiertos expuestos que pertenecían a la propia infraestructura de trabajo del actor de amenazas.
Este desliz proporcionó una ventana sin precedentes a las tácticas del grupo, permitiendo a los investigadores recuperar registros del historial del shell, código fuente archivado y los archivos de configuración de sus herramientas de ataque.
El análisis forense reveló que los atacantes penetraron sistemáticamente plataformas de staking, proveedores de software de intercambio y a los propios exchanges utilizando dos vectores de entrada bien diferenciados:
- En el primer escenario, explotaron el CVE-2025-55182, una vulnerabilidad conocida en el framework React2Shell, utilizando escaneos masivos y técnicas de evasión de cortafuegos de aplicaciones web (WAF) para identificar plataformas vulnerables.
- En el segundo escenario, omitieron por completo la fase de explotación inicial y accedieron directamente a la infraestructura en la nube utilizando tokens de acceso válidos de AWS que habían sido robados previamente.
El Botín: Claves, Contenedores y Terraform
Una vez dentro de las plataformas comprometidas, los atacantes no buscaron transferencias rápidas y ruidosas, sino que apuntaron directamente a la propiedad intelectual y a los activos estratégicos.
- Extrajeron el código fuente del backend de las plataformas de staking, el cual incluía archivos .env.
- Estos archivos de entorno contenían claves privadas codificadas (hardcoded) para billeteras de la cadena de bloques Tron, lo que otorgaba un acceso inmediato a fondos reales.
- El botín también incluyó imágenes de contenedores Docker extraídas de un intercambio de criptomonedas.
- Estas imágenes contenían credenciales de bases de datos, configuraciones de servicios internos y lógica de intercambio propietaria construida con software del proveedor blockchain ChainUp.
Este patrón de robar sistemas backend y software de intercambio encaja a la perfección con la estrategia norcoreana documentada de reposicionarse en las redes corporativas para ejecutar robos de criptomonedas a una escala masiva en el futuro.
La Cadena de Ataque en AWS y la Evasión Maestra
La fase del ataque enfocada en la nube demostró un enfoque altamente estructurado para el saqueo de entornos AWS.
- Tras validar las credenciales robadas, los atacantes realizaron un barrido de enumeración masivo a través de instancias EC2, bases de datos RDS, buckets S3, funciones Lambda, clústeres EKS y roles IAM.
- Filtraron los contenidos de los buckets S3 mediante búsquedas grep apuntando a archivos con extensiones .pem, .key y .ppk, además de archivos de configuración que contuvieran palabras clave como “secret”, “cred” y “pass”.
- Descargaron archivos de estado de Terraform, los cuales suelen almacenar el mapeo de la infraestructura, para extraer contraseñas de bases de datos y claves de API en texto plano.
- Seguidamente, pivotaron hacia el clúster de Kubernetes de la víctima actualizando el archivo kubeconfig mediante comandos de AWS IAM y lograron extraer ConfigMaps y Secretos de Kubernetes de los pods en ejecución.
Para coronar la operación, el grupo norcoreano demostró un dominio absoluto en técnicas de evasión de red. Configuraron su Comando y Control (C2) utilizando VShell en el puerto 8082 y usaron FRP como un proxy de túnel directamente a través del puerto 53. Dado que este puerto se usa casi exclusivamente para el tráfico DNS legítimo, la técnica logra escapar fácilmente a la monitorización de red estándar.
Además, un detalle crucial es que todas las conexiones hacia su Servidor Privado Virtual (VPS) primario se realizaron de forma exclusiva a través del protocolo IPv6, eludiendo por completo las herramientas de detección empresariales que tradicionalmente solo están configuradas para monitorear el tráfico IPv4.
