Puntos clave
- Un sofisticado ciberataque atribuido a piratas informáticos norcoreanos puso en peligro a Radiant Capital a través de un archivo PDF malicioso, lo que provocó un robo de 50 millones de dólares a pesar de los rigurosos protocolos de seguridad implantados.
- En el ataque participó INLETDRIFT malware y fue ejecutado por UNC4736 (AppleJeus/Citrine Sleet), un grupo vinculado a la Oficina General de Reconocimiento de Corea del Norte, lo que pone de relieve la escalada de amenazas a las plataformas DeFi
Una brecha de ingeniería social provoca un grave fallo de seguridad
El ataque comenzó el 11 de septiembre de 2024, cuando los atacantes se hicieron pasar por un antiguo contratista a través de Telegram, enviando un archivo ZIP malicioso disfrazado de documento PDF legítimo para su revisión. El sofisticado engaño incluía un dominio falsificado que coincidía con el sitio web del contratista, lo que ayudó a eludir las sospechas iniciales del equipo de desarrollo.
Despliegue y ejecución avanzados de malware
Los atacantes utilizaron INLETDRIFT, un sofisticado paquete de malware oculto en "Penpie_Hacking_Analysis_Report.zip". Este malware establecía una puerta trasera persistente en macOS mientras mostraba un PDF de apariencia legítima, comunicándose con un servidor de comando y control a través del dominio atokyonews[.]com. El ataque culminó con el robo el 16 de octubre, con los atacantes colocando estratégicamente contratos inteligentes maliciosos a través de múltiples blockchains, incluyendo Arbitrum, Binance Smart Chain, Base y Ethereum.
Implicaciones para la seguridad en todo el sector
Este incidente ha puesto al descubierto vulnerabilidades críticas en las actuales prácticas de seguridad de DeFi. Incluso con carteras de hardware, herramientas de simulación y exhaustivos procesos de revisión humana, atacantes sofisticados fueron capaces de eludir estas salvaguardas. La experiencia de Radiant Capital subraya la urgente necesidad de que el sector DeFi desarrolle soluciones más sólidas a nivel de hardware para la validación de las transacciones y la verificación de la carga útil.
En respuesta al ataque, Radiant Capital ha contratado a varias empresas de seguridad, entre ellas Mandiant, zeroShadow e Hypernative, para llevar a cabo la investigación y la recuperación de activos. La organización sigue colaborando estrechamente con las fuerzas y cuerpos de seguridad estadounidenses, al tiempo que mantiene su compromiso de compartir sus hallazgos para reforzar las normas de seguridad en todo el sector.
