El Grupo Lazarus, un colectivo de hackers vinculado al gobierno de Corea del Norte, ha desarrollado y desplegado un kit especializado de malware diseñado para comprometer plataformas de fintech y criptomonedas. Esta nueva amenaza eleva los riesgos en un sector ya expuesto a ataques sofisticados, obligando a empresas y usuarios a fortalecer sus defensas con prácticas de seguridad avanzadas.
¿Quién es el Grupo Lazarus y cuál es su historial en ciberataques?
El Grupo Lazarus, también conocido por alias como APT38, Dark Seoul o Hidden Cobra, es un equipo de ciberatacantes respaldado por el Estado norcoreano. Su principal objetivo ha sido generar ingresos ilícitos para financiar actividades del régimen, incluyendo programas de armamento y proliferación nuclear. Desde aproximadamente 2017, han intensificado sus operaciones contra el ecosistema de criptomonedas, explotando su naturaleza descentralizada y pseudónima para robar fondos con relativa facilidad.
Este grupo se ha especializado en ataques de alto perfil. Uno de los más notorios fue el hackeo al puente Ronin Network en 2022, donde sustrajeron alrededor de 600 millones de dólares en criptoactivos, principalmente Ethereum. Los fondos robados se movieron rápidamente a través de servicios de mezcla como Tornado Cash, un protocolo que oscurece el origen de las transacciones en la blockchain de Ethereum. A pesar de las sanciones del Departamento del Tesoro de EE.UU., que identificó direcciones específicas vinculadas a Lazarus, el grupo continuó depositando grandes cantidades de ETH en estos servicios.
Más recientemente, en febrero de 2025, Lazarus perpetró lo que se considera el mayor robo de criptomonedas en la historia: 1.500 millones de dólares en tokens de Ethereum del exchange Bybit. Los atacantes crearon una interfaz falsa que replicaba perfectamente la plataforma de firma de transacciones. Cuando los directivos aprobaron una transferencia desde una billetera fría multifirma —un sistema de almacenamiento sin conexión a internet considerado altamente seguro— en realidad firmaron una operación que envió los fondos a una dirección controlada por los hackers. El FBI confirmó oficialmente la responsabilidad de Lazarus, destacando cómo convirtieron parte de los activos en Bitcoin y los dispersaron en miles de direcciones a través de múltiples blockchains para blanquearlos.
Otros incidentes incluyen un robo de más de 5.200 millones de dólares acumulados en varios ataques, según estimaciones de firmas de análisis blockchain. En mayo de 2025, vinculados a un ataque de malware contra un comerciante individual, sustrajeron fondos de billeteras multisig, cuentas de propiedad externa (EOA) y wallets de intercambio, canalizando 1.000 ETH a Tornado Cash antes de liquidarlos en el mercado abierto. Además, un reporte reciente los relaciona con un hackeo a Bitrefill, aumentando la alarma sobre vulnerabilidades en servicios de recarga de criptomonedas.
Las reservas estimadas de Lazarus en criptoactivos superan los 1.100 millones de dólares, incluyendo Bitcoin, Ethereum y Tether, según plataformas de inteligencia blockchain. Estos fondos se mueven a través de protocolos de liquidez descentralizados como THORChain, donde en un solo día canalizaron al menos 605 millones de dólares. Su evolución táctica es clara: de ataques a exchanges grandes a objetivos más variados, como comerciantes intradía y plataformas fintech.
El nuevo kit de malware: una amenaza especializada para fintech y criptomonedas
Los informes recientes revelan que Lazarus ha lanzado un kit de herramientas maliciosas específicamente adaptado para infiltrarse en plataformas de fintech —empresas que combinan finanzas y tecnología, como apps de pagos digitales y neobancos— y el sector de criptomonedas. Este kit representa una escalada en sofisticación, permitiendo comprometer sistemas vulnerables de manera más eficiente y sigilosa.
Tradicionalmente, Lazarus emplea técnicas como spear-phishing —correos personalizados con adjuntos maliciosos—, malware personalizado como AppleJeus o Manuscrypt, y exploits de vulnerabilidades en software. En campañas como DeathNote, usan cebos temáticos de minería de Bitcoin para activar backdoors en instancias comprometidas. Sin embargo, el nuevo kit integra implantes avanzados como BLINGCAN y COPPERHEDGE, que permiten control persistente sobre las máquinas infectadas.
En el contexto fintech y cripto, este kit explota debilidades comunes: APIs expuestas, billeteras conectadas a internet (hot wallets), y procesos de aprobación de transacciones. Por ejemplo, en el caso de Bybit, el malware enmascaró la interfaz de firma, engañando incluso a sistemas multifirma. Para lectores con conocimientos básicos, una billetera fría es como una caja fuerte desconectada de la red, mientras que la multifirma requiere múltiples aprobaciones para transferir fondos, similar a necesitar varias llaves para abrir una puerta. El kit de Lazarus burla estas protecciones mediante interfaces falsas o inyecciones de código que alteran lo que ven los usuarios durante la firma.
Expertos en ciberseguridad confirman que este kit apunta a aumentar la eficiencia de robos en un sector vulnerable. Plataformas fintech, que manejan transacciones rápidas con cripto, son ideales porque integran bridges, exchanges descentralizados (DEX) y stablecoins. El malware puede extraer claves privadas, interceptar semillas de recuperación o manipular transacciones en tiempo real. En ataques recientes, como el de un comerciante que perdió más de 107.000 dólares en ETH más tokens menores, el kit drenó billeteras variadas, demostrando versatilidad.
La campaña DeathNote muestra un cambio: aunque siguen atacando cripto, ahora diversifican a defensa, automotriz y académico, pero el kit fintech/cripto mantiene el foco en finanzas digitales. Esto implica que no solo exchanges, sino apps de préstamos DeFi, custodios y procesadores de pagos están en riesgo. Los fondos robados se lavan rápidamente vía mixers o se convierten en fiat, minimizando rastreo.
Técnicas de ataque y cómo operan en el ecosistema cripto
El modus operandi de Lazarus es meticuloso y adaptativo. Comienzan con vectores iniciales como documentos con macros habilitadas o enlaces a sitios falsos. Una vez dentro, despliegan malware que establece backdoors para exfiltrar datos. En cripto, priorizan robar claves privadas —las contraseñas que controlan los fondos— o semillas mnemónicas, secuencias de palabras que regeneran accesos.
Para lectores intermedios: en blockchain, una transacción se firma con claves criptográficas. Lazarus interfiere en este proceso, como en Bybit, donde una transacción enmascarada pareció legítima pero redirigió ETH. Usan multi-chain para dispersar fondos: de Ethereum a Bitcoin vía bridges, luego a mixers. Tornado Cash, pese a sanciones, sigue siendo clave; depósitos masivos de Ronin probaron su límite, pero permitieron ofuscación rápida.
Otras técnicas incluyen ataques a smart contracts —códigos autónomos en blockchains como Ethereum— explotando bugs, o supply-chain attacks infectando software de terceros usado por plataformas. En el robo a un comerciante, malware sofisticado accedió a multisig, EOAs y exchange wallets, extrayendo QBX, Blocklords, Astra Protocol, DAI y ETH. Luego, liquidación en mercados abiertos.
En fintech, atacan integraciones: APIs de pagos que conectan bancos tradicionales con cripto. El kit nuevo probablemente incluye loaders que evaden antivirus, persistencia vía tareas programadas y C2 (command-and-control) servers para comandos remotos. Han evolucionado de WannaCry (ransomware global) a operaciones quirúrgicas en cripto, robando miles de millones sin preocuparse por detección, ya que su patrocinador estatal los protege.
Estadísticas clave: pérdidas totales atribuidas a Lazarus superan 5.000 millones de dólares desde 2022. En 2025 solo, Bybit (1.500M USD), más ataques menores como Bitrefill y el comerciante (5.2M USD). Sus billeteras retienen 1.100M USD, listos para más operaciones.
Medidas de defensa y recomendaciones para empresas y usuarios
Frente a esta amenaza, las plataformas fintech y cripto deben adoptar defensas multicapa. Para empresas: implementar monitoreo continuo de blockchain con herramientas que alerten transacciones sospechosas, como flujos a mixers conocidos. Usar multi-signature wallets con hardware security modules (HSM) que verifiquen firmas en entornos aislados, previniendo interfaces falsas.
Actualizar software regularmente, segmentar redes (cold storage aislado de hot wallets) y realizar auditorías de smart contracts por firmas independientes. Entrenar personal contra phishing: simular ataques para reconocer cebos de “minería gratis”. Integrar IA para detectar anomalías en APIs y transacciones.
Para usuarios intermedios: elige exchanges regulados con pruebas de reservas. Usa hardware wallets como Ledger o Trezor para holdings grandes; nunca compartas semillas. Verifica URLs y firmas en apps móviles. En DeFi, chequea contratos en exploradores como Etherscan antes de interactuar. Habilita 2FA con apps como Google Authenticator, no SMS.
Evita mixers sancionados y reporta actividades sospechosas a plataformas como Chainalysis o autoridades. Comunidades como ZackXBT en Telegram rastrean direcciones Lazarus; sigue para alertas. En fintech, apps como neobancos deben cifrar datos en tránsito y reposo.
Regulaciones emergen: post-Bybit, debates sobre normas estrictas para exchanges. Colaboración público-privada, como PSA del FBI, ayuda identificar patrones. Empresas deben priorizar zero-trust architecture: no confíes en nada por defecto, verifica siempre.
En resumen, el kit de Lazarus acelera riesgos, pero conocimiento y herramientas mitigan. Usuarios básicos: protege tus claves como dinero en efectivo. Intermedios: diversifica, audita y educa. El sector cripto crece; la seguridad debe crecer más rápido para contrarrestar amenazas estatales como esta.