Hackeo de $285 millones a Drift fue una operación de ingeniería social norcoreana de 6 meses

Un ataque que resultó en el robo de $285 millones a Drift, una plataforma de intercambio descentralizada basada en Solana, fue el resultado de una operación de ingeniería social (engaño para obtener información o acceso) meticulosamente planificada por Corea del Norte. La operación duró seis meses y comenzó en otoño de 2025.

Cómo se desarrolló el ataque

Según Drift, individuos que se hacían pasar por una empresa de comercio cuantitativo se acercaron a colaboradores de Drift en importantes conferencias de criptomonedas. Bajo el pretexto de integrar su protocolo, establecieron relaciones con miembros clave de Drift durante seis meses. Estos individuos no eran norcoreanos, sino intermediarios contratados.

• Se mostraron técnicamente competentes y con experiencia profesional verificable.
• Crearon un grupo de Telegram para mantener conversaciones sobre estrategias comerciales e integraciones.
• Incluso depositaron más de $1 millón de sus propios fondos para construir una presencia operativa dentro del ecosistema de Drift.

Entre diciembre de 2025 y enero de 2026, el grupo creó una bóveda (Ecosystem Vault) en Drift, lo que requería completar un formulario detallado. Las interacciones continuaron hasta febrero y marzo de 2026, incluyendo el intercambio de enlaces a proyectos y herramientas en desarrollo.

Se sospecha que hubo dos vectores de ataque principales:

• Un colaborador pudo haber sido comprometido después de clonar un repositorio de código (almacén de código) compartido por el grupo. Este repositorio contenía un proyecto malicioso de Microsoft Visual Studio Code (VS Code), un entorno de desarrollo, que ejecutaba código dañino al abrirse.
• Otro colaborador fue persuadido para descargar una aplicación de billetera (wallet) a través de Apple TestFlight para probarla.

Quién está detrás del ataque

Drift atribuye el ataque, con un nivel de confianza medio, al grupo de hackers norcoreano UNC4736, también conocido como AppleJeus, Citrine Sleet, Golden Chollima y Gleaming Pisces. Este grupo tiene un historial de robos financieros en el sector de las criptomonedas desde al menos 2018. Son conocidos por el ataque a la cadena de suministro de X_TRADER/3CX en 2023 y el hackeo de $53 millones a la plataforma DeFi Radiant Capital en octubre de 2024.

La empresa de ciberseguridad CrowdStrike describe a Golden Chollima como una rama de Labyrinth Chollima, enfocada principalmente en el robo de criptomonedas mediante el ataque a pequeñas empresas fintech (empresas de tecnología financiera) en EE. UU., Canadá, Corea del Sur, India y Europa Occidental. CrowdStrike indica que estos robos sirven para generar ingresos para el régimen de Corea del Norte, que necesita fondos para sus planes militares.

Malware fragmentado de Corea del Norte

DomainTools Investigations (DTI) reveló que el aparato cibernético de Corea del Norte ha evolucionado hacia un ecosistema de malware (software malicioso) deliberadamente fragmentado, con el objetivo de ser más resistente a la atribución y a las acciones de las autoridades. Esto implica que el desarrollo y las operaciones de malware están cada vez más compartimentadas, tanto técnica como organizativamente.

Qué significa esto para ti

Este ataque demuestra la sofisticación de los grupos de hackers patrocinados por estados y la importancia de la seguridad en el sector de las criptomonedas. Para las empresas, esto significa verificar la identidad de los colaboradores y socios, implementar controles de seguridad más estrictos y educar a los empleados sobre los riesgos de la ingeniería social. Para los usuarios, es crucial ser cauteloso al descargar software o hacer clic en enlaces, especialmente de fuentes desconocidas.