CryptoCore Criminal Group ha estado apuntando a los intercambios de criptomonedas durante 3 años

Los ciberdelincuentes han atacado a los usuarios e intercambios de criptomonedas en los últimos años. Si bien algunos de los ataques los llevan a cabo delincuentes de bajo nivel, también hay múltiples campañas a gran escala que han resultado en el robo de millones de la víctima. Los investigadores de seguridad sospechan que finalmente podrían haber reunido suficiente información sobre uno de los principales grupos del crimen organizado que apuntan a los intercambios de criptomonedas en Europa, Japón, Israel y Estados Unidos. El grupo, denominado CryptoCore, parece tener vínculos con el actor de Advanced Persistent Threat (APT), con sede en Corea del Norte, Lazarus. Además, los criminales de CryptoCore supuestamente han robado más de $ 200,000,000 a través de sus campañas de ataque en los últimos tres años.

Los primeros rastros de las actividades de CryptoCore Criminal Group se remontan a 2018 cuando fueron tras los intercambios de criptomonedas con sede en Japón. El objetivo fue abordado a través de archivos adjuntos de correo electrónico maliciosos acompañados de un mensaje de phishing: se enviaron a los empleados del intercambio. Al parecer, los correos electrónicos maliciosos llevaban cargas útiles que anteriormente utilizaba la APT de Lazarus. Además, los piratas informáticos norcoreanos también se consideran responsables del desarrollo y mantenimiento de dicho malware.

Las campañas del CryptoCore Criminal Group parecen estar totalmente motivadas económicamente y no parecen tener ninguna motivación política. Recientemente, sus ataques cambiaron su enfoque hacia los intercambios de criptomonedas con sede en Israel. Los delincuentes a menudo confían en los troyanos de acceso remoto (RAT) y los ladrones de información para lograr sus objetivos. Sus métodos de entrega y goteros continúan evolucionando, pero las similitudes con los ataques anteriores de Lazarus son indiscutibles.