{"id":191,"date":"2026-03-09T17:43:39","date_gmt":"2026-03-09T17:43:39","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/09\/unc4899-infringio-una-empresa-de-cifrado-despues-de-que-un-desarrollador-lanzara-por-aire-un-archivo-troyanizado-al-dispositivo-de-trabajo\/"},"modified":"2026-03-09T17:43:39","modified_gmt":"2026-03-09T17:43:39","slug":"unc4899-infringio-una-empresa-de-cifrado-despues-de-que-un-desarrollador-lanzara-por-aire-un-archivo-troyanizado-al-dispositivo-de-trabajo","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/09\/unc4899-infringio-una-empresa-de-cifrado-despues-de-que-un-desarrollador-lanzara-por-aire-un-archivo-troyanizado-al-dispositivo-de-trabajo\/","title":{"rendered":"UNC4899 infringi\u00f3 una empresa de cifrado despu\u00e9s de que un desarrollador lanzara por aire un archivo troyanizado al dispositivo de trabajo"},"content":{"rendered":"
\n

El actor de amenazas norcoreano conocido como UNC4899<\/strong> Se sospecha que est\u00e1 detr\u00e1s de una sofisticada campa\u00f1a de compromiso en la nube dirigida a una organizaci\u00f3n de criptomonedas en 2025 para robar millones de d\u00f3lares en criptomonedas.<\/p>\n

La actividad se ha atribuido con moderada confianza al adversario patrocinado por el estado, al que tambi\u00e9n se le rastrea bajo los cripto\u00f3nimos Jade Sleet, PUKCHONG, Slow Pisces y TraderTraitor. <\/p>\n

\u00abEste incidente se destaca por su combinaci\u00f3n de ingenier\u00eda social, explotaci\u00f3n de mecanismos de transferencia de datos entre pares (P2P) de dispositivos personales a corporativos, flujos de trabajo y eventual giro a la nube para emplear t\u00e9cnicas de vivir fuera de la nube (LOTC)\u00bb, se\u00f1al\u00f3 el gigante tecnol\u00f3gico en su informe. Informe sobre horizontes de amenazas en la nube del primer semestre de 2026<\/a> [PDF] compartido con The Hacker News.<\/p>\n

Al obtener acceso al entorno de la nube, se dice que los atacantes abusaron de los flujos de trabajo leg\u00edtimos de DevOps para recopilar credenciales, romper los l\u00edmites de los contenedores y alterar las bases de datos de Cloud SQL para facilitar el robo de criptomonedas.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

La cadena de ataque, dijo Google Cloud, representa una progresi\u00f3n de lo que comenz\u00f3 con el compromiso del dispositivo personal de un desarrollador en su estaci\u00f3n de trabajo corporativa, antes de saltar a la nube para realizar modificaciones no autorizadas a la l\u00f3gica financiera.<\/p>\n

Todo comenz\u00f3 cuando los actores de amenazas utilizaron estrategias de ingenier\u00eda social para enga\u00f1ar al desarrollador para que descargara un archivo como parte de una supuesta colaboraci\u00f3n en un proyecto de c\u00f3digo abierto. Luego, el desarrollador transfiri\u00f3 el mismo archivo al dispositivo de su empresa a trav\u00e9s de AirDrop.<\/p>\n

\u00abUtilizando su entorno de desarrollo integrado (IDE) asistido por IA, la v\u00edctima interactu\u00f3 con el contenido del archivo y finalmente ejecut\u00f3 el c\u00f3digo Python malicioso incrustado, que gener\u00f3 y ejecut\u00f3 un binario que se hac\u00eda pasar por la herramienta de l\u00ednea de comandos de Kubernetes\u00bb, dijo Google.<\/p>\n

Luego, el binario se puso en contacto con un dominio controlado por el atacante y actu\u00f3 como una puerta trasera para la m\u00e1quina corporativa de la v\u00edctima, brindando a los atacantes una forma de pasar al entorno de Google Cloud probablemente usando sesiones autenticadas y credenciales disponibles. A este paso le sigui\u00f3 una fase inicial de reconocimiento destinada a recopilar informaci\u00f3n sobre diversos servicios y proyectos.<\/p>\n

\"\"<\/a><\/div>\n

El ataque pas\u00f3 a la siguiente fase con el descubrimiento de un anfitri\u00f3n basti\u00f3n<\/a>con el adversario modificando su atributo de pol\u00edtica de autenticaci\u00f3n multifactor (MFA) para acceder a \u00e9l y realizar reconocimiento adicional, incluida la navegaci\u00f3n a pods espec\u00edficos dentro del entorno de Kubernetes.<\/p>\n

Posteriormente, UNC4899 adopt\u00f3 un enfoque de vivir fuera de la nube (LotC) para configurar mecanismos de persistencia alterando las configuraciones de implementaci\u00f3n de Kubernetes para ejecutar un comando bash autom\u00e1ticamente cuando se crean nuevos pods. El comando, por su parte, descargaba una puerta trasera.<\/p>\n

Algunos de los otros pasos llevados a cabo por el actor de amenazas se enumeran a continuaci\u00f3n:<\/p>\n