La Oficina Federal de Investigaciones (FBI) de EE. UU., en asociación con la Policía Nacional de Indonesia, ha desmantelado la infraestructura asociada con una operación de phishing global que aprovechó un conjunto de herramientas disponible en el mercado llamado W3LL para robar las credenciales de cuentas de miles de víctimas e intentar fraude por más de 20 millones de dólares.

Al mismo tiempo, las autoridades detuvieron al presunto desarrollador, identificado como GL, y confiscaron dominios clave vinculados al esquema de phishing. «La eliminación corta un recurso importante utilizado por los ciberdelincuentes para obtener acceso no autorizado a las cuentas de las víctimas», dijo el FBI. dicho en un comunicado.

El kit de phishing W3LL permitió a los delincuentes imitar páginas de inicio de sesión legítimas para engañar a las víctimas para que entregaran sus credenciales, permitiendo así a los atacantes tomar el control de sus cuentas. El kit de phishing se anunciaba por una tarifa de unos 500 dólares.

El kit de phishing permitió a sus clientes implementar sitios web falsos que imitaban a sus contrapartes legítimas, haciéndose pasar por portales de inicio de sesión confiables para recopilar credenciales.

«Esto no era sólo phishing, era una plataforma de cibercrimen de servicio completo», dijo el agente especial a cargo del FBI en Atlanta, Marlo Graham. «Continuaremos trabajando con nuestros socios encargados de hacer cumplir la ley nacionales y extranjeros, utilizando todas las herramientas disponibles para proteger al público».

W3LL fue documentado por primera vez por Group-IB, con sede en Singapur, en septiembre de 2023, destacando el uso por parte de los operadores de un mercado clandestino llamado W3LL Store que prestaba servicios a aproximadamente 500 actores de amenazas y les permitía comprar acceso al kit de phishing W3LL Panel junto con otras herramientas de cibercrimen para ataques de compromiso de correo electrónico empresarial (BEC).

La empresa de ciberseguridad describió W3LL como una plataforma de phishing todo en uno que ofrece una amplia gama de servicios, desde herramientas de phishing personalizadas y listas de correo hasta acceso a servidores comprometidos. Se cree que el actor de amenazas detrás del servicio ilícito ha estado activo desde 2017, y anteriormente desarrolló herramientas de spam de correo electrónico masivo como PunnySender y W3LL Sender.

Según el FBI, la Tienda W3LL también facilitó la venta de credenciales robadas y el acceso no autorizado al sistema, incluidas conexiones de escritorio remoto. Se estima que se vendieron más de 25.000 cuentas comprometidas en las tiendas entre 2019 y 2023.

«Centrado principalmente en las credenciales de Microsoft 365, W3LL utiliza un adversario en el medio (AitM) para secuestrar las cookies de sesión y evitar la autenticación multifactor», Hunt.io dicho en un informe publicado en marzo de 2024.

Luego, el año pasado, la empresa de seguridad francesa Sekoia, en su análisis de otro kit de phishing conocido como Sneaky 2FA, reveló que la herramienta «reutilizaba algunos fragmentos de código» del sindicato de phishing W3LL Store, añadiendo que en los últimos años han circulado versiones crackeadas de W3LL.

«Incluso después del cierre de W3LLSTORE en 2023, la operación continuó a través de plataformas de mensajería cifrada, donde la herramienta fue renombrada y comercializada activamente», dijo el FBI. «Solo entre 2023 y 2024, el kit de phishing se utilizó para atacar a más de 17.000 víctimas en todo el mundo».

«El desarrollador detrás de la herramienta recopiló y revendió el acceso a cuentas comprometidas, amplificando el alcance y el impacto del plan».

El ciberdelito sigue siendo un negocio en auge.

Las pérdidas anuales por delitos cibernéticos ascendieron a casi 20.900 millones de dólares el año pasado, lo que refleja un aumento del 26% desde 2024, dijo el Centro de Quejas de Delitos en Internet (IC3) del FBI en su informe. informe anual Martes.

El estudio exhaustivo expone un entorno de delincuencia digital que empeora y que está generando pérdidas financieras, con un impulso que avanza en la dirección equivocada y se agrava a un ritmo alarmante. Las pérdidas anuales por delitos cibernéticos han aumentado casi un 400% desde los 4.200 millones de dólares en 2020, y las pérdidas acumuladas en ese período de cinco años superaron los 71.300 millones de dólares.

El IC3 del FBI, que se formó como el centro central del país para informar sobre delitos cibernéticos en 2000, está más ocupado que nunca. «Ahora tenemos un promedio de casi 3.000 quejas por día», escribió en el informe José Pérez, director de operaciones del FBI para su rama criminal y cibernética.

El informe anual sobre delitos en Internet destaca tendencias crecientes y sostenidas. Sin embargo, el alcance del estudio es limitado y se basa enteramente en incidentes de delitos cibernéticos presentados al FBI.

El impacto total del delito cibernético sigue siendo turbio, ya que un número desconocido de víctimas sufren en las sombras y nunca denuncian los delitos que sufren.

El FBI recibió más de 1 millón de quejas el año pasado, y las víctimas mayores de 60 años reportaron la mayor cantidad de delitos que también resultaron en la mayor cantidad de pérdidas totales por grupo de edad. Las víctimas de al menos 60 años presentaron 201.000 quejas con pérdidas por un total de casi 7.750 millones de dólares, o alrededor del 37% de todas las pérdidas relacionadas con los delitos cibernéticos el año pasado.

El fraude relacionado con inversiones siguió siendo el mayor componente de las pérdidas por delitos cibernéticos en 2025, alcanzando casi 8.650 millones de dólares. Las amenazas de correo electrónico empresarial ocuparon el segundo lugar con casi 3.050 millones de dólares en pérdidas, seguidas por las estafas de soporte técnico con más de 2.100 millones de dólares.

Según el informe, las criptomonedas fueron el principal conducto para el fraude relacionado con estafas de inversión y soporte técnico el año pasado, mientras que las transferencias electrónicas constituyeron la mayor parte del fraude resultante de la vulneración del correo electrónico empresarial.

El phishing fue el tipo de delito cibernético más comúnmente denunciado el año pasado, seguido de la extorsión, las estafas de inversión y las violaciones de datos personales. El FBI contabilizó pérdidas por valor de 122,5 millones de dólares por extorsión y 32,3 millones de dólares por ransomware el año pasado.

El FBI también recibió más de 75.000 informes de sextorsión el año pasado, incluidas más de 5.700 presentaciones que fueron remitidas al Centro Nacional para Niños Desaparecidos y Explotados.

Las cinco principales amenazas cibernéticas reportadas a IC3 en 2025 incluyeron violaciones de datos con un 39%, ransomware con un 36%, intercambio de SIM con un 10%, malware con un 9% y botnets con un 7%.

El FBI recibió más de 3.600 quejas sobre ransomware el año pasado. Las cinco variantes más reportadas incluyeron Akira, Qilin, INC, BianLian y Play.

Cada uno de los 16 sectores de infraestructura crítica reportaron ataques de ransomware el año pasado, y los más atacados incluyeron atención médica, manufactura, servicios financieros, gobierno y TI.

El IC3 recibe principalmente quejas de residentes y empresas estadounidenses, pero también recibió quejas de más de 200 países el año pasado, lo que representó casi 1.600 millones de dólares en pérdidas totales.

Si bien las pérdidas y la gran cantidad de delitos cibernéticos continuaron aumentando el año pasado, “el FBI continúa perturbando y disuadiendo a los actores cibernéticos maliciosos y trasladando el costo de las víctimas a nuestros adversarios”, escribió Pérez en el informe.

«Nunca ha sido más importante ser diligente con la ciberseguridad, la huella en las redes sociales y las interacciones electrónicas», añadió. «Las amenazas cibernéticas y los delitos cibernéticos seguirán evolucionando a medida que el mundo adopte tecnologías emergentes como la inteligencia artificial».

La deriva tiene reveló que el ataque del 1 de abril de 2026 que condujo al robo de 285 millones de dólares fue la culminación de una operación de ingeniería social selectiva y meticulosamente planificada de meses de duración emprendida por la República Popular Democrática de Corea (RPDC) que comenzó en el otoño de 2025.

El intercambio descentralizado con sede en Solana lo describió como «un ataque que lleva seis meses en desarrollo», y lo atribuyó con confianza media a un grupo de piratería patrocinado por el estado de Corea del Norte llamado UNC4736que también se rastrea bajo los ciptónimos AppleJeus, Citrine Sleet, Golden Chollima y Gleaming Pisces.

El actor de amenazas tiene un historial de atacar el sector de las criptomonedas por robo financiero desde al menos 2018. Es más conocido por la violación de la cadena de suministro de X_TRADER/3CX en 2023 y el hackeo de 53 millones de dólares de la plataforma de finanzas descentralizadas (DeFi). Capital Radiante en octubre de 2024.

«La base de esta conexión es tanto en cadena (los flujos de fondos utilizados para organizar y probar esta operación se remontan a los atacantes de Radiant) como operativa (las personas desplegadas en esta campaña tienen superposiciones identificables con actividades conocidas vinculadas a la RPDC)», dijo Drift en un análisis del domingo.

En una evaluación publicada a finales de enero de 2026, la empresa de ciberseguridad CrowdStrike describió a Golden Chollima como una rama de Labyrinth Chollima que está orientada principalmente al robo de criptomonedas y apunta a pequeñas empresas de tecnología financiera en EE. UU., Canadá, Corea del Sur, India y Europa occidental.

«El adversario normalmente lleva a cabo robos de menor valor a un ritmo operativo más consistente, lo que sugiere la responsabilidad de garantizar la generación de ingresos básicos para el régimen de la RPDC», dijo CrowdStrike. «A pesar de mejorar las relaciones comerciales con Rusia, la RPDC necesita ingresos adicionales para financiar ambiciosos planes militares que incluyen la construcción de nuevos destructores, la construcción de submarinos de propulsión nuclear y el lanzamiento de satélites de reconocimiento adicionales».

En al menos un incidente observado a finales de 2024, UNC4736 entregó paquetes Python maliciosos mediante un plan de contratación fraudulento a una empresa europea de tecnología financiera. Al obtener acceso, el actor de amenazas se movió lateralmente al entorno de nube de la víctima para acceder a las configuraciones de IAM y los recursos de nube asociados y, en última instancia, desvió los activos de criptomonedas a billeteras controladas por el adversario.

Cómo probablemente se desarrolló el ataque a la deriva

Drift, que está trabajando con las fuerzas del orden y socios forenses para reconstruir la secuencia de eventos que llevaron al ataque, dijo que era el objetivo de una «operación de inteligencia estructurada» que requirió meses de planificación.

A partir del otoño de 2025 o alrededor de esa fecha, personas que se hacían pasar por una empresa comercial cuantitativa se acercaron a los contribuyentes de Drift en una importante conferencia sobre criptomonedas y conferencias internacionales sobre criptomonedas con el pretexto de integrar el protocolo. Desde entonces, se supo que se trataba de un enfoque deliberado, en el que los miembros de este grupo comercial se acercaron y establecieron una buena relación con contribuyentes específicos de Drift en varias conferencias importantes de la industria que tuvieron lugar en varios países durante un período de seis meses.

«Los individuos que aparecieron en persona no eran ciudadanos norcoreanos», explicó Drift. «Se sabe que los actores de amenazas de la RPDC que operan a este nivel utilizan intermediarios externos para construir relaciones cara a cara».

«Eran técnicamente fluidos, tenían antecedentes profesionales verificables y estaban familiarizados con cómo operaba Drift. Se estableció un grupo de Telegram en la primera reunión, y lo que siguió fueron meses de conversaciones sustanciales sobre estrategias comerciales y posibles integraciones de bóvedas. Estas interacciones son típicas de cómo las empresas comerciales interactúan y se incorporan a Drift».

Luego, en algún momento entre diciembre de 2025 y enero de 2026, el grupo incorporó un Ecosystem Vault en Drift, un paso que requirió completar un formulario con detalles de la estrategia. Como parte de este proceso, se dice que las personas se comunicaron con múltiples contribuyentes, les hicieron «preguntas detalladas e informadas sobre el producto», mientras depositaban más de $ 1 millón de sus propios fondos.

Esto, dijo Drift, fue un movimiento calculado diseñado para construir una presencia operativa funcional dentro del ecosistema Drift, con conversaciones de integración que continuaron con los contribuyentes hasta febrero y marzo de 2026. Esto incluyó compartir enlaces para proyectos, herramientas y aplicaciones que la compañía afirmó estar desarrollando.

La posibilidad de que estas interacciones con el grupo comercial hayan actuado como la vía de infección inicial adquirió importancia tras el ataque del 1 de abril. Pero como reveló Drift, sus chats de Telegram y el software malicioso se eliminaron justo en el momento en que ocurrió el ataque.

Se sospecha que puede haber dos vectores de ataque principales:

• Es posible que un colaborador se haya visto comprometido después de clonar un repositorio de código compartido por el grupo como parte de los esfuerzos para implementar una interfaz para su bóveda.
• Se convenció a un segundo colaborador para que descargara un producto de billetera a través de TestFlight de Apple para realizar una prueba beta de la aplicación.

Se considera que el vector de intrusión basado en repositorio involucró un proyecto malicioso de Microsoft Visual Studio Code (VS Code) que utiliza el archivo «tasks.json» como arma para desencadenar automáticamente la ejecución de código malicioso en el proyecto en el IDE mediante el uso de la opción «runOn:folderOpen».

Vale la pena señalar que esta técnica ha sido adoptado por los actores de amenazas norcoreanos asociados con la campaña Contagious Interview desde diciembre de 2025, lo que llevó a Microsoft a introducir nuevos controles de seguridad en las versiones 1.109 y 1.110 de VS Code para evitar la ejecución involuntaria de tareas al abrir un espacio de trabajo.

«La investigación ha demostrado hasta ahora que los perfiles utilizados en esta operación dirigida por terceros tenían identidades completamente construidas, incluidos historiales laborales, credenciales públicas y redes profesionales», dijo Drift. «Las personas que los colaboradores de Drift conocieron en persona parecían haber pasado meses creando perfiles, tanto personales como profesionales, que pudieran resistir el escrutinio durante una relación comercial o de contraparte».

El ecosistema de malware fragmentado de Corea del Norte

La divulgación se produce cuando DomainTools Investigations (DTI) reveló que el aparato cibernético de la RPDC ha evolucionado hasta convertirse en un ecosistema de malware «deliberadamente fragmentado» que está impulsado por una misión, operativamente resiliente y resistente a los esfuerzos de atribución. Se cree que este cambio es una respuesta a las acciones policiales y a las revelaciones de inteligencia sobre las campañas de piratería informática de Corea del Norte.

«El desarrollo y las operaciones de malware están cada vez más compartimentados, tanto técnica como organizativamente, lo que garantiza que la exposición en un área de la misión no se extienda a todo el programa», dijo DTI. dicho. «Lo más importante es que este modelo también maximiza la ambigüedad. Al separar las herramientas, la infraestructura y los patrones operativos según las líneas de la misión, la RPDC complica la atribución y ralentiza la toma de decisiones de los defensores».

Con ese fin, DomainTools señaló que el malware orientado al espionaje de la RPDC está asociado principalmente con Kimsuky, mientras que Lazarus Group encabeza los esfuerzos para generar ingresos ilícitos para el régimen, transformándose en un «pilar central» para la evasión de sanciones. La tercera vía gira en torno a la implementación de ransomware y malware de limpieza con fines de señalización estratégica y llamar la atención sobre sus capacidades. Esta rama disruptiva está asociada a Andariel.

La ingeniería social detrás de las entrevistas contagiosas y el fraude de los trabajadores de TI

La ingeniería social y el engaño siguen siendo los principales catalizadores de muchas de las intrusiones que se han atribuido a los actores amenazadores de la RPDC. Esto incluye el reciente compromiso de la cadena de suministro del enormemente popular paquete npm, Axios, así como campañas en curso como Contagious Interview y fraude a los trabajadores de TI.

Entrevista contagiosa es el apodo asignado a una amenaza de larga duración en la que el adversario se acerca a posibles objetivos y los engaña para que ejecuten código malicioso desde un repositorio falso como parte de una evaluación. Algunos de estos esfuerzos han utilizado proyectos Node.js armados alojados en GitHub para desplegar una puerta trasera de JavaScript llamada DEV#POPPER RAT y un ladrón de información conocido como OmniStealer.

Por otro lado, Fraude de trabajadores de TI de la RPDC se refiere a esfuerzos coordinados por agentes norcoreanos para Consiga puestos remotos independientes y de tiempo completo en empresas occidentales que utilizan identidades robadas, Personas generadas por IAy credenciales falsificadas. Una vez contratados, generan ingresos constantes y aprovechan el acceso para introducir malware y desviar información confidencial y de propiedad exclusiva. En algunos casos, los datos robados se utilizan para extorsionar a las empresas.

El programa patrocinado por el estado despliega miles de trabajadores técnicamente capacitados en países como China y Rusia, que se conectan a computadoras portátiles proporcionadas por la empresa alojadas en granjas de computadoras portátiles en los EE. UU. y otros lugares. El plan también se basa en una red de facilitadores para recibir computadoras portátiles de trabajo, administrar la nómina y manejar la logística. Estos facilitadores son contratados a través de empresas fantasma.

El proceso comienza con los reclutadores que identifican y seleccionan candidatos potenciales. Una vez aceptados, los trabajadores de TI ingresan a una fase de incorporación, donde los facilitadores asignan identidades y perfiles, y los guían a través de actualizaciones de currículum, preparación de entrevistas y solicitudes iniciales de empleo. Los actores de amenazas también trabajan con colaboradores para completar los requisitos de contratación para oportunidades de tiempo completo donde se aplican estrictas políticas de verificación de identidad.

Como señaló Chainalysis, las criptomonedas juega un papel central en canalizar la mayoría de los salarios generados por estos esquemas de trabajadores de TI de regreso a Corea del Norte mientras evaden las sanciones internacionales.

«El ciclo es constante e interminable. Los trabajadores de TI de Corea del Norte entienden que, tarde o temprano, renunciarán o serán despedidos de cualquier puesto determinado», dijeron Flare e IBM X-Force en un informe el mes pasado. «Como resultado, cambian continuamente entre trabajos, identidades y cuentas, sin permanecer nunca en un puesto ni utilizar una sola persona durante mucho tiempo».

Desde entonces, nuevas pruebas descubiertas por Flare han revelado los esfuerzos de la campaña para reclutar activamente a personas de Irán, Siria, Líbano y Arabia Saudita, y al menos dos iraníes recibieron cartas de oferta formales de empleadores estadounidenses. Ha habido más de 10 casos de ciudadanos iraníes que han sido reclutados por el régimen.

También se ha descubierto que los facilitadores utilizan LinkedIn para contratar a personas distintas de Irán, Irlanda e India, a quienes luego se les capacita para conseguir los puestos de trabajo. Estos individuos, llamados llamadores o entrevistadores, hablan por teléfono con gerentes de contratación estadounidenses, pasan entrevistas técnicas y se hacen pasar por personas occidentales reales o falsas seleccionadas por ellos. Cuando una persona que llama no pasa una entrevista, el facilitador revisa la grabación y proporciona comentarios.

«Los norcoreanos están apuntando deliberadamente a contratistas de defensa, intercambios de criptomonedas e instituciones financieras estadounidenses», Flare dicho. «Si bien las motivaciones principales parecen ser financieras, el ataque deliberado evidenciado en sus documentos indica que también puede haber otros objetivos en juego».

«La RPDC no está simplemente desplegando a sus propios ciudadanos bajo identidades falsas. Está construyendo un canal de reclutamiento multinacional, atrayendo a desarrolladores capacitados de Irán, Siria, Líbano y Arabia Saudita a una infraestructura diseñada para infiltrarse en contratistas de defensa, intercambios de criptomonedas, instituciones financieras y empresas de todos los tamaños de los EE. UU. Los reclutas son verdaderos ingenieros de software, pagados en criptomonedas, entrenados a través de entrevistas y ubicados en personajes occidentales fabricados».

Intercambio descentralizado basado en Solana Deriva ha confirmado que los atacantes drenaron alrededor de 285 millones de dólares de la plataforma durante un incidente de seguridad que tuvo lugar el 1 de abril de 2026.

«Hoy, un actor malicioso obtuvo acceso no autorizado al Protocolo Drift a través de un nuevo ataque que involucra nonces duraderos, lo que resultó en una rápida toma de control de los poderes administrativos del Consejo de Seguridad de Drift», dijo la compañía. dicho en una serie de publicaciones sobre X.

«Esta fue una operación altamente sofisticada que parece haber implicado una preparación de varias semanas y una ejecución por etapas, incluido el uso de cuentas nonce duraderas para prefirmar transacciones que retrasaron la ejecución».

Drift señaló que el ataque no aprovechó una vulnerabilidad en sus programas o contratos inteligentes, y que no hay evidencia de frases iniciales comprometidas. Más bien, se dice que la violación «involucró aprobaciones de transacciones no autorizadas o tergiversadas obtenidas antes de la ejecución, probablemente facilitadas a través de mecanismos nonce duraderos e ingeniería social sofisticada», explicó.

Para ello, los actores de amenazas obtuvieron suficientes aprobaciones de firmas múltiples (multifirma) y ejecutó una transferencia de administrador maliciosa en cuestión de minutos para obtener el control de los permisos a nivel de protocolo y, en última instancia, aprovecharlos para «introducir un activo malicioso y eliminar todos los límites de retiro preestablecidos, atacando los fondos existentes».

Según una cronología de eventos compartida por Drift, los preparativos para el ataque estaban en marcha ya el 23 de marzo de 2026. La compañía dijo que está coordinando con múltiples firmas de seguridad para determinar la causa del incidente, agregando que está trabajando con puentes, intercambios y fuerzas del orden para rastrear y congelar los activos robados.

En informes separados publicados el jueves, tanto Elliptic como TRM Labs dijeron que hay indicios en la cadena de que los ladrones de criptomonedas de Corea del Norte pueden estar detrás del atraco de criptomonedas.

Esto incluía el uso de Tornado Cash para la puesta en escena inicial, así como los patrones de conexión entre cadenas y la velocidad y escala del lavado posterior al hackeo que son consistentes con hackeos previamente atribuidos a actores de amenazas norcoreanos, incluido el exploit masivo de Bybit de 2025.

«La vulnerabilidad crítica no fue un error de contrato inteligente, sino una combinación de firmantes multifirma de ingeniería social para firmar previamente autorizaciones ocultas y una migración del Consejo de Seguridad con bloqueo de tiempo cero que eliminó la última línea de defensa del protocolo», TRM Labs dicho.

«El atacante fabricó un activo completamente ficticio, CarbonVote Token, con unos pocos miles de dólares en liquidez inicial y operaciones de lavado, y los oráculos de Drift lo trataron como una garantía legítima por valor de cientos de millones de dólares».

La firma de inteligencia blockchain también señaló que el token CarbonVote se implementó a las 09:30 hora de Pyongyang.

Elliptic, en su propio análisis del incidente de seguridad, dijo que el comportamiento en cadena, las metodologías de lavado y los indicadores a nivel de red se alinean con el arte conocido asociado con actores de amenazas de la República Popular Democrática de Corea (RPDC).

La compañía también señaló que, si se confirma, este incidente «representaría el decimoctavo acto de la RPDC» que ha seguido desde principios de año, con más de 300 millones de dólares robados hasta la fecha.

«Es una continuación de la campaña sostenida de la RPDC de robo de criptoactivos a gran escala, que el gobierno de Estados Unidos ha vinculado con la financiación de sus programas de armas», Elliptic dicho. «Se cree que los actores vinculados a la RPDC han robado más de 6.500 millones de dólares en criptoactivos en los últimos años».

Se estima que la operación de robo de criptoactivos de Corea del Norte generó un récord de 2 mil millones de dólares en 2025, de los cuales aproximadamente 1,46 mil millones de dólares se originaron en el hackeo de Bybit en febrero de 2025.

La principal vía de acceso inicial a través de la cual se ejecutan estos ataques sigue siendo la ingeniería social, aprovechando personas y señuelos persuasivos para apuntar a los sectores de criptomonedas y Web3 a través de campañas rastreadas como DangerousPassword (también conocido como CageyChameleon, CryptoMimic y CryptoCore) y Contagious Interview. A finales de febrero de 2026, las ganancias combinadas de las campañas gemelas totalizan 37,5 millones de dólares este año.

«La operación de robo de criptoactivos de la RPDC no es una serie de incidentes aislados. Es una campaña sostenida y bien dotada de recursos que está creciendo en escala y sofisticación», Elliptic dicho.

«La evolución de las técnicas de ingeniería social de la RPDC, combinada con la creciente disponibilidad de IA para refinar y perfeccionar estos métodos, significa que la amenaza se extiende mucho más allá de los intercambios. Los desarrolladores individuales, los contribuyentes de proyectos y cualquier persona con acceso a la infraestructura de criptoactivos son un objetivo potencial».

El desarrollo coincide con el compromiso de la cadena de suministro del popular paquete Axios npm, que múltiples proveedores de seguridad, incluidos Google, Microsoft, CrowdStrike y Sophos, han atribuido a un grupo de piratería norcoreano llamado UNC1069, que se superpone con BlueNoroff, CryptoCore, Nickel Gladstone, Sapphire Sleet y Stardust Chollima.

«Este grupo patrocinado por el Estado se centra en generar ingresos para el régimen norcoreano», Sophos dicho. «Los artefactos incluyen metadatos forenses idénticos y patrones de comando y control (C2), así como conexiones con malware utilizado exclusivamente por Nickel Gladstone. Según estos artefactos, es muy probable que Nickel Gladstone sea responsable de los ataques de Axios».

Un ciudadano ruso de 26 años ha sido condenado en Estados Unidos a 6,75 años (81 meses) de prisión por su papel en la asistencia a importantes grupos de ciberdelincuencia, incluido el Yanluowang equipo de ransomware, en la realización de numerosos ataques contra empresas estadounidenses y otras organizaciones.

Según el Departamento de Justicia de Estados Unidos (DoJ), Alekséi Olegóvich Vólkov facilitó docenas de ataques de ransomware en todo Estados Unidos, causando más de 9 millones de dólares en pérdidas reales y más de 24 millones de dólares en pérdidas previstas. Volkov fue arrestado el 18 de enero de 2024 en Italia y extraditado a Estados Unidos para enfrentar cargos. Se declaró culpable de los crímenes en noviembre de 2025.

Se dice que Volkov actuó como intermediario de acceso inicial responsable de obtener acceso no autorizado a redes y sistemas informáticos pertenecientes a varias organizaciones y vender ese acceso a otros grupos delictivos, incluidos los actores de ransomware. Esto se logró explotando vulnerabilidades o encontrando formas de acceder a las redes sin autorización.

«Los cómplices de Volkov utilizaron el acceso proporcionado por Volkov para infectar las redes y sistemas informáticos afectados con malware», dijo el Departamento de Justicia. dicho. «Este malware cifró los datos de las víctimas y les impidió acceder a ellos, dañando sus operaciones comerciales».

«Los conspiradores luego exigieron que las víctimas les pagaran un rescate en criptomonedas, a veces de decenas de millones de dólares, a cambio de restaurar el acceso de las víctimas a los datos y prometer no revelar públicamente el hackeo ni liberar los datos robados de las víctimas en un sitio web de ‘filtración’».

Cada vez que una víctima pagaba un rescate, Volkov recibía una parte de las ganancias ilícitas. Fue acusado de transferencia ilegal de un medio de identificación, tráfico de información de acceso, fraude de dispositivos de acceso y robo de identidad agravado, además de dos cargos de fraude informático y conspiración para cometer lavado de dinero.

Como parte de la declaración de culpabilidad, el acusado acordó pagar una restitución total a las víctimas, incluidos al menos $9,167,198 a víctimas conocidas para compensarlas por sus pérdidas reales, además de perder las herramientas utilizadas para llevar a cabo los crímenes.

Estados Unidos acusa a un tercer negociador de ransomware vinculado a los ataques de BlackCat

La revelación se produce cuando los fiscales estadounidenses cargado un tercer individuo actúa como negociador para la banda de ransomware BlackCat (también conocido como ALPHV), ayudando a los actores de amenazas a extorsionar pagos más altos de al menos 10 víctimas. El hombre de 41 años, Angelo Martino (anteriormente identificado sólo como «Co-Conspirador 1»), trabajó como negociador de ransomware para DigitalMint.

Las autoridades han confiscado casi 9,2 millones de dólares en cinco tipos de criptomonedas (Bitcoin, Monero, Ripple, Solana y Stellar) de 21 carteras controladas por Martino, además de incautar vehículos y propiedades de lujo. Se enfrenta a hasta 20 años de prisión. Otros dos socorristas de incidentes, Ryan Clifford Goldberg y Kevin Tyler Martin, se declararon culpables de sus funciones como afiliados de BlackCat en diciembre de 2025.

En una declaración compartida con The Record, DigitalMint dijo que las acciones violaban la política y los estándares éticos de la compañía, y que había despedido tanto a Martino como a Martin después de que su comportamiento saliera a la luz.

«DigitalMint condena el comportamiento criminal de estos individuos, que es una clara violación de nuestros valores, nuestras normas éticas y la ley», afirma. dicho. «Tanto nuestra empresa como nuestra industria existen para apoyar a las organizaciones que sufren los impactos de un ciberataque, y esto va completamente en contra de lo que defendemos».

Un hombre de 27 años de Carolina del Norte fue encontrado culpable de seis cargos de extorsión por una serie de delitos que cometió mientras trabajaba como contratista de análisis de datos para una empresa de tecnología internacional con sede en DC, dijo el jueves el Departamento de Justicia.

Cameron Nicholas Curry, también conocido como “Loot”, robó una gran cantidad de datos corporativos, incluida información confidencial sobre empleados y compensaciones, que utilizó para extorsionar a su empleador, según registros judiciales. Curry finalmente se llevó aproximadamente 2,5 millones de dólares de la organización víctima en enero de 2024.

El ataque interno subraya los riesgos inconmensurables que las empresas aceptan cuando los empleados o contratistas asignados a puestos por una empresa de contratación externa, como fue el caso de Curry, pueden acceder a datos confidenciales en una computadora portátil propiedad de la empresa. Los funcionarios no nombraron la empresa.

Curry utilizó su acceso a la red de la empresa para eliminar datos corporativos con fines de extorsión mientras trabajaba para la empresa entre agosto y diciembre de 2023. Inmediatamente después de su último día de empleo en la empresa, Curry comenzó a enviar correos electrónicos amenazantes a sus empleados y exigió un rescate para no filtrar ni destruir los datos.

Los funcionarios dijeron que envió más de 60 correos electrónicos a varios empleados y ejecutivos durante un período de seis semanas, amenazando con revelar los datos de nómina de la compañía, alegando que mostraban una importante desigualdad salarial en toda la fuerza laboral. En esos correos electrónicos, Curry enmarcó el ataque de extorsión por robo de datos como un esfuerzo por implementar la transparencia salarial.

«Loot y nuestros socios tienen como objetivo garantizar que todos reciban el pago correspondiente, brindando a los empleados la influencia que merecen y al mismo tiempo cumpliendo con las regulaciones del gobierno federal sobre actos protegidos», escribió Curry en uno de los correos electrónicos, según la acusación.

Curry incluyó archivos adjuntos en los correos electrónicos que contenían capturas de pantalla de hojas de cálculo que enumeraban la información de identificación personal de los empleados de la empresa. Los funcionarios dijeron que también advirtió a la compañía que proporcionaría a los empleados instrucciones sobre cómo abordar la discriminación salarial a través de la mediación, la Comisión de Igualdad de Oportunidades en el Empleo o una demanda colectiva.

Algunos de los correos electrónicos de extorsión se volvieron personales, incluida una afirmación de que una persona del equipo legal no recibía una bonificación, mientras que la mayoría de los empleados en puestos de alto nivel sí recibían bonificaciones. Curry también amenazó con informar la violación a la Comisión de Bolsa y Valores, citando reglas que requieren que las empresas públicas revelen rápidamente los ciberataques.

La empresa que cotiza en bolsa notificó al FBI sobre la infracción el 14 de diciembre de 2023 y pagó la demanda de rescate de Curry casi un mes después.

Múltiples errores de seguridad operativa ayudaron a las autoridades a identificar y construir un caso contra Curry con bastante rapidez. Usó datos personales y verificables para establecer una nueva cuenta de Coinbase, y dos de las tarjetas de débito vinculadas a la cuenta que Curry estableció para recibir un rescate pertenecían a su madre y su hermana.

Las autoridades registraron el apartamento, los dispositivos digitales y el vehículo de Curry en Charlotte, Carolina del Norte, pocas semanas después de que se pagara el rescate. Fue arrestado y puesto en libertad bajo fianza a finales de enero de 2024.

Los funcionarios dijeron que Curry inició su plan de extorsión después de enterarse de que su contrato con la empresa no sería renovado. Se enfrenta a hasta 12 años de prisión en el momento de la sentencia.

Puede leer la acusación completa a continuación.

Un hombre de 41 años del sur de Florida está acusado de realizar al menos 10 ataques de ransomware y extorsionar por un total combinado de 75,25 millones de dólares en pagos de rescate mientras trabajaba como negociador de ransomware para DigitalMint.

Cinco de las presuntas víctimas de Angelo John Martino III contrataron a DigitalMint, que asignó a Martino para llevar a cabo negociaciones sobre ransomware en nombre de sus clientes, colocándolo en una posición para jugar en ambos lados, como el criminal responsable del ataque y el negociador principal de sus presuntas víctimas, según registros judiciales federales revelados el miércoles.

Martino supuestamente obtuvo una cuenta de afiliado en ALPHV, también conocida como BlackCat, y conspiró con otros exprofesionales de ciberseguridad para irrumpir en las redes de las víctimas, robar y cifrar datos y extorsionar a las empresas para pedir rescates durante un período de seis meses en 2023.

Martino fue un cómplice anónimo en una acusación presentada en noviembre de 2025 contra Kevin Tyler Martin, otro exnegociador de ransomware en DigitalMint, y Ryan Clifford Goldberg, exgerente de respuesta a incidentes en Sygnia. Goldberg y Martin se declararon culpables en diciembre de participar en una serie de ataques de ransomware y su sentencia está programada para el 30 de abril.

Los fiscales acusan a Martino de proporcionar información confidencial sobre negociaciones de ransomware a los co-conspiradores de ALPHV para maximizar el pago del rescate. Su abogado no respondió de inmediato a una solicitud de comentarios.

Las cinco víctimas con sede en EE. UU. que contrataron a DigitalMint y, sin saberlo, recurrieron a Martino para supuestamente llevar a cabo negociaciones de ransomware con él y sus co-conspiradores incluyen una organización sin fines de lucro y empresas de las industrias hotelera, de servicios financieros, minorista y médica. Las cinco víctimas pagaron un rescate.

Goldberg y Martin no fueron nombrados específicamente como co-conspiradores en esos ataques. Los fiscales dijeron anteriormente que solo extorsionaron con éxito un pago financiero de una de sus víctimas por casi 1,3 millones de dólares.

Firma de ciberseguridad que contrató a Martino responde

DigitalMint dijo que suspendieron el acceso de Martino a los sistemas cuando el Departamento de Justicia notificó a la compañía que lo estaban investigando el 3 de abril y lo despidió al día siguiente. La compañía, que no está acusada de ningún conocimiento o participación en los delitos, agregó que no tenía conocimiento de que Martino y Martin ya estuvieran involucrados en esquemas relacionados con ransomware antes de ser contratados.

«Condenamos enérgicamente el comportamiento criminal de estos ex empleados, que violaron nuestros valores, estándares éticos y la ley», dijo el director ejecutivo de DigitalMint, Jonathan Solomon, en una declaración a CyberScoop.

«DigitalMint ha cooperado plenamente con las autoridades desde el principio y no espera más cargos», añadió Solomon. «Si bien ninguna organización puede eliminar por completo el riesgo interno, nos tomamos incidentes como este extremadamente en serio y hemos reforzado las salvaguardas y los controles internos para reducir aún más la probabilidad de conductas similares».

DigitalMint no respondió directamente a las preguntas sobre si reembolsó a sus clientes que supuestamente fueron víctimas de Martino. «No podemos discutir relaciones específicas con clientes o acuerdos de honorarios debido a obligaciones de confidencialidad», dijo un portavoz en un comunicado. «Seguimos comprometidos con nuestros clientes y hemos abordado cualquier asunto comercial directamente con esas partes».

La compañía también se negó a describir las circunstancias bajo las cuales fue contratada y asignó a Martino para llevar a cabo negociaciones de ransomware sobre los ataques que supuestamente cometió. Sin embargo, en una declaración señaló: “Los documentos de acusación no alegan que Martino haya remitido o llevado a estas víctimas a DigitalMint”.

El caso contra Martino muestra un ejemplo extremo, aunque raro, del punto más oscuro de la negociación de ransomware como práctica. Los peligros de la negociación de ransomware son excesivos y estas negociaciones de canal secundario, que en gran medida no se analizan, pueden salir mal por varias razones.

Las autoridades confiscan alrededor de 12 millones de dólares en activos y fijan una fianza de 500.000 dólares

Martino está acusado de conspiración para interferir con el comercio mediante extorsión y enfrenta hasta 20 años de prisión. Está previsto que se declare culpable el 19 de marzo.

Las autoridades confiscaron casi 9,2 millones de dólares en cinco tipos de criptomonedas de 21 carteras controladas por Martino. Otros artículos incautados a Martino incluyen un Nissan Skyline de 1999, un Polaris RZR de 2024, un remolque de 2023 y una embarcación de 29 pies fabricada en 2023.

Los funcionarios también confiscaron dos propiedades propiedad de Martino en Nokomis, Florida, incluida una casa frente a la bahía con un valor estimado de 1,68 millones de dólares y una segunda casa unifamiliar con un valor estimado de 396.000 dólares. La casa frente a la bahía fue reportada como la Segunda transacción inmobiliaria más grande de la semana. cuando Martino y su esposa compraron la casa por $1,791 millones en febrero de 2024.

Martino se entregó a los alguaciles estadounidenses en Miami el martes y fue liberado con una fianza de 500.000 dólares. Tiene restringido viajar fuera del Distrito Sur de Florida y tiene prohibido trabajar en la industria de la ciberseguridad.

ALPHV/BlackCat era un notorio grupo de ransomware y extorsión vinculado a una serie de ataques a proveedores de infraestructura crítica. La variante de ransomware apareció por primera vez a finales de 2021 y luego se utilizó en decenas de ataques a organizaciones del sector de la salud.

El grupo detrás de la cepa de ransomware también se atribuyó la responsabilidad del ataque de febrero de 2024 a la filial de UnitedHealth Group, Change Healthcare, que pagó un rescate de 22 millones de dólares y se convirtió en la mayor filtración de datos de atención médica registrada, comprometiendo los datos de alrededor de 190 millones de personas.

Dos de las presuntas víctimas de Martino pagaron rescates aún mayores en 2023, según los fiscales, incluido un pago de casi 26,8 millones de dólares de la organización sin fines de lucro no identificada y un pago de casi 25,7 millones de dólares de la empresa de servicios financieros no identificada.

Puede leer los cargos formales que los fiscales presentaron contra Martino a continuación.

El Departamento de Justicia de EE. UU. (DoJ) anunció esta semana la incautación de Tether por valor de 61 millones de dólares que supuestamente estaban asociados con esquemas falsos de criptomonedas conocidos como matanza de cerdos.

Los fondos confiscados se rastrearon hasta direcciones de criptomonedas utilizadas para el lavado de ingresos derivados de delitos robados a víctimas de estafas de inversión en criptomonedas, añadió el departamento.

«Los actores criminales y los blanqueadores de dinero profesionales utilizan esquemas de fraude cibernéticos para estafar a sus víctimas y ocultar sus ganancias mal habidas», dicho Agente especial interino a cargo de HSI Charlotte, Kyle D. Burns.

«Los agentes especiales de HSI trabajan diligentemente para rastrear el producto ilícito del crimen en todo el mundo para desmantelar y desmantelar las organizaciones criminales transnacionales que buscan defraudar a los trabajadores estadounidenses».

Como es norma en este tipo de operaciones de delitos cibernéticos, se sabe que los actores de amenazas atacan a personas cultivando relaciones románticas después de acercarse a ellas a través de aplicaciones de citas y mensajería de redes sociales. Estas actividades son llevadas a cabo por personas que son traficadas hacia complejos fraudulentos que operan principalmente en el Sudeste Asiático con promesas de empleos bien remunerados.

Los sindicatos de delitos cibernéticos detrás de las estafas luego confiscan sus pasaportes y se ven obligados a estafar a las víctimas en línea haciéndose pasar por extraños encantadores o corredores en plataformas de inversión, o enfrentar consecuencias brutales. El objetivo final es convencer a los usuarios desprevenidos para que se deshagan del dinero que tanto les costó ganar en esquemas fraudulentos de inversión en criptomonedas.

Según el Departamento de Justicia, las plataformas falsas mostraban carteras de inversión inventadas que mostraban rendimientos inusualmente altos en un intento deliberado de hacer que las víctimas invirtieran más de sus fondos. La realidad llega cuando los usuarios intentan retirar sus fondos, momento en el que se les pide que paguen una tarifa adicional como una forma de extraer aún más dinero de ellos.

«Una vez que el dinero de las víctimas se transfirió a una billetera de criptomonedas bajo el control de los estafadores, los delincuentes rápidamente enviaron ese dinero a través de muchas otras billeteras para ocultar la naturaleza, fuente, control y propiedad de ese dinero robado», agregó el departamento.

En un anuncio coordinado, Tether dicho ha congelado alrededor de 4.200 millones de dólares en activos vinculados a actividades ilícitas hasta la fecha, incluidos casi 250 millones de dólares relacionados con redes de estafa solo desde junio de 2025.