¡Lazarus Group vuelve a atacar! Laptop de empleado de Bitrefill fue hackeada, fondos de billetera caliente robados

Criptomercado plataforma de comercio electrónico Bitrefill reveló el 18 de marzo en X que fue víctima de un ataque cibernético el 1 de marzo, cuya técnica coincide en gran medida con las características conocidas del grupo de hackers norcoreano Lazarus Group. Los hackers ingresaron a la computadora portátil de un empleado, lo que les permitió robar fondos de la billetera caliente de la empresa y acceder a 18,500 registros de compras.

Ruta del ataque: desde la laptop del empleado hasta la billetera caliente

La divulgación de Bitrefill revela una ruta de infiltración en múltiples niveles: los hackers primero infectaron el dispositivo del empleado con malware, y desde allí se desplazaron lateralmente hacia la billetera caliente de la empresa. Este método, en el que el dispositivo final sirve como entrada y los activos centrales como objetivo, coincide con las técnicas conocidas del Lazarus Group y su organización relacionada BlueNoroff Group.

Bitrefill indica que BlueNoroff Group podría ser parte del incidente, e incluso el único atacante. En cuanto al acceso a los datos, los hackers realizaron consultas limitadas a la base de datos de registros de compras, principalmente para detectar activos que puedan ser robados, incluyendo criptomonedas y inventario de tarjetas de regalo. Bitrefill enfatiza que no hay evidencia de que hayan extraído toda la base de datos, y que el motivo principal fue el robo financiero.

Impacto en los clientes: filtración limitada de información, servicio completamente restaurado

Los hackers accedieron a 18,500 registros de compras. Bitrefill afirma que esto podría haber causado una filtración de “información limitada de clientes”, pero no se detectaron indicios de extracción masiva de datos. La compañía declaró: “Casi todos los servicios ya están en funcionamiento — pagos, inventario y cuentas, y las ventas han vuelto a niveles normales.”

Respuesta de seguridad: cuatro empresas de ciberseguridad intervienen, sistema de defensa completamente actualizado

Tras el incidente, Bitrefill tomó varias medidas:

Bloqueo inmediato: cerraron los sistemas afectados para detener la propagación del ataque.

Notificación a las autoridades: contactaron a las agencias de cumplimiento de la ley correspondientes.

Colaboración con terceros en ciberseguridad: trabajan con Security Alliance, FearsOff Security, Recoveris.io y zeroShadow en la investigación.

Refuerzo del sistema: implementaron recomendaciones de expertos en seguridad, fortalecieron el control de accesos internos y mejoraron los mecanismos de monitoreo para reducir los tiempos de detección y respuesta.

Bitrefill afirma que desde el incidente, sus medidas de seguridad han “mejorado significativamente”.

Contexto de Lazarus Group: de Bybit a Bitrefill

Lazarus Group es una de las organizaciones de amenazas más destructivas en la industria de las criptomonedas, con estrechos vínculos con el gobierno de Corea del Norte. En febrero de 2025, fue acusado de orquestar el mayor robo en la historia de las criptomonedas, robando hasta 1.4 mil millones de dólares en activos digitales de la plataforma Bybit, siendo el mayor ataque de hackers en criptomonedas registrado.

Este incidente en Bitrefill es el último en una serie de ataques atribuidos a Lazarus Group o sus organizaciones relacionadas, tras el de Bybit, demostrando que la organización continúa enfocándose en infiltraciones a través de los dispositivos de empleados de empresas de criptomonedas.

Preguntas frecuentes

¿Cuál es la técnica principal del ataque a Bitrefill?

El ataque ocurrió el 1 de marzo, cuando los hackers usaron malware, rastreo en la cadena de bloques y reutilización de infraestructura de IP y correos electrónicos para infiltrarse en la laptop de un empleado, obtener acceso a la billetera caliente y robar fondos, además de realizar consultas limitadas a 18,500 registros de compras.

¿Por qué Bitrefill atribuye el ataque a Lazarus Group?

Porque las técnicas utilizadas — despliegue de malware, rastreo en la cadena de bloques y reutilización de infraestructura — coinciden en gran medida con las características conocidas de Lazarus Group. Además, señalan que BlueNoroff Group, organización estrechamente relacionada, también podría haber participado o ser el único atacante.

¿Se han filtrado datos personales de los usuarios de Bitrefill a gran escala?

Bitrefill indica que no hay evidencia de que los hackers hayan extraído toda la base de datos, solo realizaron consultas limitadas, principalmente para identificar activos financieros susceptibles de ser robados. Sin embargo, los 18,500 registros de compras accesados aún representan un riesgo de filtración de información limitada de clientes, por lo que recomiendan a los usuarios estar atentos a posibles anomalías.