{"id":459,"date":"2026-04-05T20:23:35","date_gmt":"2026-04-05T20:23:35","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/05\/hack-de-deriva-por-valor-de-285-millones-de-dolares-se-remonta-a-una-operacion-de-ingenieria-social-de-seis-meses-en-la-rpdc-cyberdefensa-mx\/"},"modified":"2026-04-05T20:23:35","modified_gmt":"2026-04-05T20:23:35","slug":"hack-de-deriva-por-valor-de-285-millones-de-dolares-se-remonta-a-una-operacion-de-ingenieria-social-de-seis-meses-en-la-rpdc-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/05\/hack-de-deriva-por-valor-de-285-millones-de-dolares-se-remonta-a-una-operacion-de-ingenieria-social-de-seis-meses-en-la-rpdc-cyberdefensa-mx\/","title":{"rendered":"Hack de deriva por valor de 285 millones de d\u00f3lares se remonta a una operaci\u00f3n de ingenier\u00eda social de seis meses en la RPDC \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

La deriva tiene revel\u00f3<\/a> que el ataque del 1 de abril de 2026 que condujo al robo de 285 millones de d\u00f3lares fue la culminaci\u00f3n de una operaci\u00f3n de ingenier\u00eda social selectiva y meticulosamente planificada de meses de duraci\u00f3n emprendida por la Rep\u00fablica Popular Democr\u00e1tica de Corea (RPDC) que comenz\u00f3 en el oto\u00f1o de 2025.<\/p>\n

El intercambio descentralizado con sede en Solana lo describi\u00f3 como \u00abun ataque que lleva seis meses en desarrollo\u00bb, y lo atribuy\u00f3 con confianza media a un grupo de pirater\u00eda patrocinado por el estado de Corea del Norte llamado UNC4736<\/strong>que tambi\u00e9n se rastrea bajo los cipt\u00f3nimos AppleJeus, Citrine Sleet, Golden Chollima y Gleaming Pisces.<\/p>\n

El actor de amenazas tiene un historial de atacar el sector de las criptomonedas por robo financiero desde al menos 2018. Es m\u00e1s conocido por la violaci\u00f3n de la cadena de suministro de X_TRADER\/3CX en 2023 y el hackeo de 53 millones de d\u00f3lares de la plataforma de finanzas descentralizadas (DeFi). Capital Radiante<\/a> en octubre de 2024.<\/p>\n

\u00abLa base de esta conexi\u00f3n es tanto en cadena (los flujos de fondos utilizados para organizar y probar esta operaci\u00f3n se remontan a los atacantes de Radiant) como operativa (las personas desplegadas en esta campa\u00f1a tienen superposiciones identificables con actividades conocidas vinculadas a la RPDC)\u00bb, dijo Drift en un an\u00e1lisis del domingo.<\/p>\n

En una evaluaci\u00f3n publicada a finales de enero de 2026, la empresa de ciberseguridad CrowdStrike describi\u00f3 a Golden Chollima como una rama de Labyrinth Chollima que est\u00e1 orientada principalmente al robo de criptomonedas y apunta a peque\u00f1as empresas de tecnolog\u00eda financiera en EE. UU., Canad\u00e1, Corea del Sur, India y Europa occidental.<\/p>\n

\u00abEl adversario normalmente lleva a cabo robos de menor valor a un ritmo operativo m\u00e1s consistente, lo que sugiere la responsabilidad de garantizar la generaci\u00f3n de ingresos b\u00e1sicos para el r\u00e9gimen de la RPDC\u00bb, dijo CrowdStrike. \u00abA pesar de mejorar las relaciones comerciales con Rusia, la RPDC necesita ingresos adicionales para financiar ambiciosos planes militares que incluyen la construcci\u00f3n de nuevos destructores, la construcci\u00f3n de submarinos de propulsi\u00f3n nuclear y el lanzamiento de sat\u00e9lites de reconocimiento adicionales\u00bb.<\/p>\n

En al menos un incidente observado a finales de 2024, UNC4736 entreg\u00f3 paquetes Python maliciosos mediante un plan de contrataci\u00f3n fraudulento a una empresa europea de tecnolog\u00eda financiera. Al obtener acceso, el actor de amenazas se movi\u00f3 lateralmente al entorno de nube de la v\u00edctima para acceder a las configuraciones de IAM y los recursos de nube asociados y, en \u00faltima instancia, desvi\u00f3 los activos de criptomonedas a billeteras controladas por el adversario.<\/p>\n

C\u00f3mo probablemente se desarroll\u00f3 el ataque a la deriva<\/h3>\n

Drift, que est\u00e1 trabajando con las fuerzas del orden y socios forenses para reconstruir la secuencia de eventos que llevaron al ataque, dijo que era el objetivo de una \u00aboperaci\u00f3n de inteligencia estructurada\u00bb que requiri\u00f3 meses de planificaci\u00f3n.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

A partir del oto\u00f1o de 2025 o alrededor de esa fecha, personas que se hac\u00edan pasar por una empresa comercial cuantitativa se acercaron a los contribuyentes de Drift en una importante conferencia sobre criptomonedas y conferencias internacionales sobre criptomonedas con el pretexto de integrar el protocolo. Desde entonces, se supo que se trataba de un enfoque deliberado, en el que los miembros de este grupo comercial se acercaron y establecieron una buena relaci\u00f3n con contribuyentes espec\u00edficos de Drift en varias conferencias importantes de la industria que tuvieron lugar en varios pa\u00edses durante un per\u00edodo de seis meses.<\/p>\n

\u00abLos individuos que aparecieron en persona no eran ciudadanos norcoreanos\u00bb, explic\u00f3 Drift. \u00abSe sabe que los actores de amenazas de la RPDC que operan a este nivel utilizan intermediarios externos para construir relaciones cara a cara\u00bb.<\/p>\n

\u00abEran t\u00e9cnicamente fluidos, ten\u00edan antecedentes profesionales verificables y estaban familiarizados con c\u00f3mo operaba Drift. Se estableci\u00f3 un grupo de Telegram en la primera reuni\u00f3n, y lo que sigui\u00f3 fueron meses de conversaciones sustanciales sobre estrategias comerciales y posibles integraciones de b\u00f3vedas. Estas interacciones son t\u00edpicas de c\u00f3mo las empresas comerciales interact\u00faan y se incorporan a Drift\u00bb.<\/p>\n

Luego, en alg\u00fan momento entre diciembre de 2025 y enero de 2026, el grupo incorpor\u00f3 un Ecosystem Vault en Drift, un paso que requiri\u00f3 completar un formulario con detalles de la estrategia. Como parte de este proceso, se dice que las personas se comunicaron con m\u00faltiples contribuyentes, les hicieron \u00abpreguntas detalladas e informadas sobre el producto\u00bb, mientras depositaban m\u00e1s de $ 1 mill\u00f3n de sus propios fondos.<\/p>\n

Esto, dijo Drift, fue un movimiento calculado dise\u00f1ado para construir una presencia operativa funcional dentro del ecosistema Drift, con conversaciones de integraci\u00f3n que continuaron con los contribuyentes hasta febrero y marzo de 2026. Esto incluy\u00f3 compartir enlaces para proyectos, herramientas y aplicaciones que la compa\u00f1\u00eda afirm\u00f3 estar desarrollando.<\/p>\n

La posibilidad de que estas interacciones con el grupo comercial hayan actuado como la v\u00eda de infecci\u00f3n inicial adquiri\u00f3 importancia tras el ataque del 1 de abril. Pero como revel\u00f3 Drift, sus chats de Telegram y el software malicioso se eliminaron justo en el momento en que ocurri\u00f3 el ataque.<\/p>\n

Se sospecha que puede haber dos vectores de ataque principales:<\/p>\n