Un incidente poco común ha permitido observar “el otro lado” de una operación de cibercrimen: el infostealer Lumma Stealer, utilizado habitualmente para robar datos a víctimas, terminó infectando la propia estación de trabajo de un operador vinculado a ciberactividad norcoreana. De acuerdo con la empresa de inteligencia Hudson Rock, el equipo comprometido formaba parte de la infraestructura utilizada en una operación relacionada con el robo de aproximadamente 1.400 millones de dólares en criptomonedas de la plataforma Bybit.
Lumma Stealer: del robo de credenciales a la exposición de su propio operador
Lumma Stealer es un tipo de malware clasificado como infostealer. Este tipo de herramienta maliciosa automatiza la recolección de credenciales, cookies, datos de autocompletado del navegador, información de monederos de criptomonedas y otros secretos almacenados en el sistema comprometido. Los datos capturados se envían después al servidor de mando y control del atacante.
El análisis de los registros (logs) obtenidos por Hudson Rock reveló que, entre las máquinas infectadas, se encontraba una estación de trabajo utilizada por un operador asociado a campañas norcoreanas. Entre la información robada apareció la dirección de correo [email protected], identificador ya mencionado en informes previos de la empresa Silent Push y vinculado a la infraestructura empleada durante el ataque contra Bybit.
Al correlacionar estos datos con conjuntos de inteligencia anteriores, los analistas concluyeron que el equipo infectado era un nodo operativo dentro del mismo ecosistema delictivo. De forma inadvertida, el propio atacante contribuyó a generar inteligencia de alto valor para la comunidad defensiva.
Vínculos con el ataque a Bybit: dominios de phishing y suplantación de la plataforma
Un artefacto clave fue el dominio bybit-assessment.com, registrado utilizando la dirección de correo robada. Este dominio se creó pocas horas antes del incidente contra Bybit, ocurrido en febrero de 2025, y formaba parte de una infraestructura de phishing diseñada para imitar la interfaz legítima de la plataforma y capturar credenciales de usuarios, además de servir como punto de distribución de descargas maliciosas.
El ataque ha sido atribuido a operadores presuntamente vinculados al grupo Lazarus, una de las APT (amenazas persistentes avanzadas) más activas asociadas a Corea del Norte. Este tipo de campañas suele combinar cadenas de dominios fraudulentos, páginas falsas de autenticación y distribución de aplicaciones troyanizadas que se hacen pasar por software oficial de exchanges de criptomonedas y servicios financieros.
Según informes públicos de empresas como Chainalysis, los actores vinculados a Corea del Norte han sustraído miles de millones de dólares en criptoactivos en los últimos años, con especial foco en exchanges, puentes DeFi y empresas de trading. El caso Bybit encaja en este patrón de monetización agresiva orientada a financiar al Estado.
Perfil técnico de la estación de trabajo comprometida
Los datos de Hudson Rock describen una estación de trabajo de alta capacidad, equipada con un procesador Intel Core i7 de 12ª generación, 16 GB de RAM y herramientas de desarrollo como Visual Studio Professional 2019. Destaca además la presencia de Enigma Protector, una utilidad utilizada habitualmente para empaquetar ejecutables, dificultar el análisis inverso y evadir sistemas antivirus.
Esta combinación de hardware y software indica que la máquina no era un simple equipo de usuario final, sino un entorno de desarrollo y operación de malware. Es probable que desde este sistema se compilaran, protegieran y distribuyeran cargas maliciosas empleadas en campañas contra objetivos financieros.
Uso de Astrill VPN, Dropbox y dominios de ingeniería social
El tráfico del equipo pasaba por Astrill VPN con salida a direcciones IP estadounidenses, mientras que el navegador estaba configurado en chino simplificado y el historial de traducciones incluía consultas directas en coreano. La estructura de carpetas del Dropbox asociado sugería el uso de este servicio en la nube como repositorio para datos robados y herramientas operativas.
El uso de Astrill VPN ya había sido observado previamente en campañas norcoreanas. Investigaciones como las del analista Mauro Eldritch en 2025 describen cómo actores de Corea del Norte se hacían pasar por candidatos a puestos de trabajo en empresas tecnológicas occidentales, recurriendo al mismo servicio VPN para ocultar su origen real.
Los logs de Lumma también evidenciaron la preparación de una campaña de phishing a gran escala basada en dominios como callapp.us, callservice.us y el subdominio zoom.callapp.us. La estrategia probable consistía en convencer a las víctimas de instalar supuestas actualizaciones de Zoom o aplicaciones corporativas que, en realidad, eran instaladores maliciosos. El instalador de Zoom falso resolvía a una dirección IP local vinculada a la misma estación de trabajo, reforzando la atribución de toda la infraestructura al operador comprometido.
Fallos de OPSEC reiterados: de Lumma Stealer al caso Kimsuky
No es la primera vez que una APT norcoreana ve expuesta su infraestructura por errores de seguridad operacional (OPSEC). En junio de 2025, el histórico e-zine Phrack publicó la investigación “APT Down: The North Korea Files”, en la que se detallaba el compromiso de un miembro del grupo Kimsuky (también conocido como APT43 o Thallium). El análisis de su sistema permitió desvelar tácticas, técnicas y procedimientos (TTP) internos, así como fallos en la compartición de recursos, reutilización de cuentas y mala segmentación de entornos.
Estos incidentes evidencian que incluso actores estatales bien financiados pueden verse afectados por las mismas amenazas que despliegan contra sus objetivos. La centralización excesiva de recursos —compartir estaciones de trabajo, VPN, dominios y credenciales entre múltiples operaciones— crea puntos únicos de fallo que, al ser comprometidos, se convierten en una valiosa fuente de inteligencia para los defensores.
Para las organizaciones, el caso Lumma–Bybit ofrece lecciones concretas: reforzar el monitorizado de actividad anómala, segmentar sistemas críticos, reducir al mínimo la reutilización de credenciales y desplegar autenticación multifactor (MFA) en todos los accesos sensibles. La revisión periódica de investigaciones públicas sobre grupos APT, así como la adopción de enfoques de defensa basada en amenazas (threat-informed defense), permite ajustar las estrategias de seguridad a las técnicas reales de los adversarios y, cuando es posible, convertir sus propios errores en ventaja defensiva.
