Sin archivos en el disco: Corea del Norte ataca plataformas de criptomonedas con malware indetectable

Sin archivos en el disco: Corea del Norte ataca plataformas de criptomonedas con malware indetectable

Los ladrones prefieren el sigilo a la fuerza bruta.

image

Cuanto más sigiloso es el software malicioso, más tiempo puede permanecer en el sistema — con ese principio se guía el grupo Lazarus, vinculado a Corea del Norte, en su nueva campaña contra bancos y plataformas de criptomonedas.

Los especialistas de la empresa Cognyte registraron ataques que emplearon un conjunto de tres componentes: DPAPILoader, RemotePELoader y RemotePE. Su característica principal es que el código malicioso no se escribe en el disco, sino que funciona exclusivamente en la memoria operativa. Esto dificulta considerablemente su detección e investigación tras la infección.

El esquema de ataque se desarrolla por etapas. El primer componente descifra y ejecuta el siguiente, utilizando el mecanismo integrado de protección de datos de Windows (DPAPI). El segundo descarga la carga final directamente desde los servidores de los atacantes. El tercero — troyano de acceso remoto — se ejecuta íntegramente en la memoria y otorga a los atacantes el control sobre el sistema: ejecución de comandos, gestión de archivos y robo de datos.

Merece atención aparte la técnica de «vinculación al entorno». El código malicioso se cifra para una máquina víctima concreta mediante ese mismo DPAPI — no puede ejecutarse en otro dispositivo. Cada infección resulta única, lo que prácticamente anula la eficacia de la detección basada en firmas de archivos.

Lazarus se ha especializado históricamente en ataques con motivación financiera, incluidos los robos de criptomonedas. La nueva campaña muestra que, además de la complejidad técnica, el grupo apuesta cada vez más por la discreción y la permanencia prolongada en la red de la víctima —un enfoque que antes caracterizaba principalmente a estructuras estatales de inteligencia.

Para reducir los riesgos, los analistas recomiendan limitar los privilegios administrativos, desplegar detección del comportamiento de amenazas en memoria, reforzar la recopilación de telemetría en los puntos finales y también vigilar el uso sospechoso de las funciones DPAPI y la actividad de red saliente inusual.

Noticias sobre el tema

El código estaba protegido, pero aun así robaron el dinero: clientes de Polymarket víctimas de phishing en la web oficia

La automatización no salió como se esperaba: Ford reintegra a 350 ingenieros para corregir fallos en sus sistemas de IA.

Punto ciego en la protección de datos: cómo una empresa búlgara presta servicio a la mitad de los sistemas maliciosos de Europa del Este

«Gracias por no cortarnos el agua»: hackers "jugaron" con las bombas durante dos años porque nadie cambió la contraseña por defecto

Allanaron una biblioteca y robaron un museo — el gobierno británico aún no sabe qué hacer.

Entraron sin hacer ruido y se quedaron mucho tiempo: ASIO reveló cómo grupos APT extranjeros preparaban el sabotaje de la infraestructura estatal.

El ordenador revivió y el diploma desapareció: así funciona la nueva «reversión salvadora» de Windows 11

La hibernación es perjudicial: una función habitual está destruyendo silenciosamente los SSD

Amenaza en la planta: hackers acceden al control de los controladores industriales Lantronix