TL;DR
Los hackers norcoreanos explotaron una vulnerabilidad de front-end de React para acceder a la infraestructura de nube de criptomonedas, robando credenciales de AWS, claves privadas y código fuente.
Estas brechas contribuyeron a un récord de $2.02 mil millones en criptomonedas robadas en 2025, representando aproximadamente el 13% del PIB de Corea del Norte.
El grupo ahora combina ingeniería social con exploits técnicos, apuntando a intercambios, plataformas de staking y proveedores de software para maximizar el valor de cada ataque.
Los operadores cibernéticos norcoreanos han penetrado en los sistemas de nube de criptomonedas utilizando una vulnerabilidad de front-end previamente pasada por alto, según un nuevo informe de ciberseguridad. La brecha apuntó a la infraestructura que soporta intercambios y plataformas de staking, exponiendo la creciente sofisticación de los ataques vinculados al estado en las redes de criptomonedas.
La explotación de Front-End abre puertas a la infraestructura en la nube
Investigadores de Ctrl-Alt-Intel rastrearon la operación hasta una vulnerabilidad crítica de React (CVE-2025-55182), que proporcionó un punto de entrada a los entornos en la nube. Desde allí, los atacantes utilizaron credenciales de AWS robadas para extraer claves privadas, código fuente y archivos de configuración sensibles almacenados en Secrets Manager y configuraciones de Terraform. Las imágenes de Docker vinculadas a importantes proveedores de software de intercambio también fueron comprometidas. El ataque se originó en un servidor en Corea del Sur y se basó en dominios registrados bajo nombres engañosos.
La campaña refleja un cambio en las tácticas. Aunque se reportaron menos ataques en 2025, el valor de las criptomonedas robadas se disparó a $2.02 mil millones, un aumento del 51% con respecto a 2024. Los analistas destacan cómo las brechas dirigidas de alto valor ahora superan al hackeo basado en volumen, demostrando la eficiencia de los ataques estratégicos para actores estatales.
Métodos en evolución y robos de alto perfil
El Grupo Lazarus, la principal unidad cibernética de Corea del Norte, llevó a cabo incidentes importantes, incluido un robo de $1.5 mil millones de Bybit en febrero de 2025 y una extracción de $30.4 millones de Upbit más tarde ese año. Los expertos en seguridad señalan que las explotaciones técnicas se combinan cada vez más con la ingeniería social. Las campañas de reclutamiento falsas y los operativos de TI incrustados permiten a los atacantes obtener acceso privilegiado desde dentro de las organizaciones, eludiendo los controles de seguridad convencionales.
Estos enfoques han sido particularmente efectivos contra plataformas que gestionan activos digitales de alto valor. Los analistas estiman que las criptomonedas robadas ahora representan alrededor del 13% del PIB de Corea del Norte, con ingresos que probablemente apoyan programas militares y estratégicos.
Perspectiva de seguridad en criptomonedas
Los expertos esperan que los ataques de alto valor y baja frecuencia continúen hasta 2026. La estructura de incentivos es clara: una sola violación exitosa puede superar el impacto de múltiples ataques más pequeños, y Corea del Norte ha demostrado repetidamente la capacidad de identificar y explotar las vulnerabilidades más rentables. Los incidentes subrayan la importancia de la ciberseguridad proactiva, al tiempo que muestran cómo las redes de criptomonedas pueden adaptarse a amenazas técnicas y sociales.