El ataque contra la bolsa descentralizada Drift, construida sobre Solana y comprometida el 1 de abril de 2026, se saldó con el robo de aproximadamente 285 millones de dólares. Según la propia plataforma, el incidente fue la culminación de una operación de varios meses cuidadosamente orquestada, en la que se combinaron técnicas avanzadas de ingeniería social con la explotación dirigida de herramientas de desarrollo utilizadas por el equipo técnico.
Atribución a UNC4736 (AppleJeus) y el ecosistema Lazarus en el sector DeFi
Drift atribuye el ataque, con un nivel de confianza catalogado como «medio», a la unidad norcoreana UNC4736, también conocida como AppleJeus, Golden Chollima, Citrine Sleet o Gleaming Pisces. Esta célula forma parte del ecosistema Lazarus, responsable desde al menos 2018 de múltiples intrusiones contra el sector de criptomonedas, entre ellas la cadena de suministro de X_TRADER/3CX en 2023 y el robo de 53 millones de dólares a la plataforma DeFi Radiant Capital en 2024.
Investigaciones previas de firmas como Chainalysis y empresas de respuesta a incidentes han demostrado que los grupos vinculados a Corea del Norte han sustraído ya miles de millones de dólares en criptoactivos desde 2017, convirtiendo los ataques a DeFi, exchanges y puentes entre cadenas en un pilar para la financiación del régimen y la evasión de sanciones internacionales.
Ingeniería social contra DeFi: falsos fondos cuantitativos infiltrando el ecosistema Drift
El núcleo de la operación contra Drift fue una campaña de ingeniería social a largo plazo. A partir del otoño de 2025, individuos que se presentaban como representantes de un fondo de trading cuantitativo empezaron a interactuar de forma sistemática con desarrolladores y contribuidores clave del protocolo durante conferencias de criptomonedas en distintos países.
Estos interlocutores no eran ciudadanos de Corea del Norte, lo que encaja con un patrón ya documentado: los operadores norcoreanos recurren a terceros para reuniones presenciales y negociación comercial. De acuerdo con Drift, los supuestos traders mostraban un alto nivel de conocimiento técnico, disponían de biografías verificables y dominaban detalles internos del funcionamiento del protocolo, elementos que reforzaron su credibilidad.
Tras los primeros contactos, se creó un canal de Telegram donde, durante meses, se debatieron estrategias de trading, riesgos y modelos de integración con el protocolo. Entre diciembre de 2025 y enero de 2026, el grupo abrió un Ecosystem Vault en Drift, completando una propuesta detallada de estrategia e involucrando a varios contribuidores para aclarar aspectos complejos del producto.
Para consolidar la confianza, los atacantes depositaron más de 1 millón de dólares en el vault con fondos propios, manteniendo una comunicación intensa hasta marzo de 2026 y compartiendo enlaces a supuestas herramientas y proyectos en desarrollo, que posteriormente se sospecha sirvieron como vectores de compromiso.
Abuso de Visual Studio Code: tasks.json y la campaña Contagious Interview
Compromiso del entorno de desarrollo como vector silencioso de intrusión
Tras el robo, Drift detectó que tanto la conversación en Telegram como posibles muestras de malware habían sido eliminadas poco antes de la ejecución del ataque, lo que complicó el análisis forense. Uno de los vectores técnicos considerados más probables es la comprometación mediante un proyecto de Visual Studio Code entregado al equipo de desarrollo.
Según el análisis de Drift y de investigadores externos, los atacantes podrían haber proporcionado un repositorio de código en el que el archivo tasks.json de VS Code estuviera alterado para ejecutar código malicioso de forma automática al abrir la carpeta de trabajo, utilizando la opción runOn: folderOpen. Esta técnica se ha observado desde finales de 2025 en la campaña Contagious Interview, donde se suministran repositorios con «pruebas técnicas» envenenadas a candidatos a puestos de desarrollo.
Como respuesta al abuso de esta funcionalidad, Microsoft introdujo controles adicionales en VS Code 1.109 y 1.110, limitando la ejecución automática de tareas al abrir una workspace. Pese a ello, el caso de Drift y otros incidentes dirigidos evidencian que las herramientas de desarrollador se han consolidado como vector de ataque al mismo nivel que el phishing tradicional o la explotación de vulnerabilidades de software.
Arquitectura fragmentada de la ciberprograma norcoreana: Lazarus, Kimsuky y Andariel
De acuerdo con DomainTools Investigations, la ciberoperativa de Corea del Norte ha evolucionado hacia una ecosistema deliberadamente fragmentado, en el que herramientas, infraestructura y operadores se distribuyen por misión. Esta segmentación reduce el riesgo de desanonimización global: la exposición de un componente no revela toda la arquitectura ni facilita una atribución completa.
De forma simplificada, pueden distinguirse tres líneas principales: operaciones de espionaje, asociadas sobre todo a Kimsuky; campañas con motivación financiera lideradas por Lazarus/UNC4736, que sostienen la evasión de sanciones; y ataques destructivos con malware de tipo ransomware o wiper, vinculados al grupo Andariel. En conjunto, estas capacidades permiten a Pyongyang combinar inteligencia, financiación y disuasión cibernética.
Trabajadores IT norcoreanos, fraude en el empleo remoto y rol crítico de las criptomonedas
Entrevistas técnicas falsas y suplantación de identidades en empresas occidentales
La ingeniería social sigue siendo un catalizador esencial de las operaciones norcoreanas. Junto con campañas como Contagious Interview y ataques a la cadena de suministro (por ejemplo, paquetes maliciosos en gestores como npm), se ha documentado ampliamente el programa de «IT worker fraud», orientado a insertar desarrolladores norcoreanos en empresas occidentales bajo identidades robadas o ficticias.
Informes de Flare e IBM X-Force señalan que miles de profesionales técnicos operan desde China, Rusia y otros países, apoyados por redes de intermediarios y «granjas de portátiles» en Estados Unidos y Europa. Estos facilitadores reciben y redistribuyen equipos corporativos, gestionan pagos y logística, y contratan a «callers» en países como Irán, Irlanda o India para superar entrevistas técnicas fingiendo ser perfiles occidentales preconfigurados.
En este modelo, la criptomoneda es un componente clave: según Chainalysis, la mayor parte de los ingresos procedentes tanto de estos fraudes laborales como de las intrusiones a plataformas cripto se canalizan mediante activos digitales, dificultando la trazabilidad y contribuyendo a sortear las sanciones internacionales. Se han observado además indicios de colaboración y reclutamiento de especialistas en países como Irán, Siria, Líbano y Arabia Saudí, lo que amplía el alcance de la red.
Los acontecimientos en torno a Drift confirman que las fronteras entre operaciones APT «clásicas» y ciberdelincuencia financiera están cada vez más difuminadas. Para las organizaciones del ecosistema cripto y para cualquier empresa con equipos remotos o cadenas de suministro complejas, resulta crítico reforzar la verificación de contrapartes, aplicar autenticación multifactor en todos los accesos sensibles, aislar los entornos de desarrollo, auditar extensiones de IDE y repositorios externos, y mejorar los procesos de onboarding y verificación de identidad. Invertir de forma proactiva en ciberseguridad, formación en ingeniería social y monitorización de actividad anómala es hoy la diferencia entre resistir la próxima operación multietapa o convertirse en su siguiente víctima.
