El colectivo de ciberpiratas norcoreano Lazarus, famoso por haber llevado a cabo numerosos atracos a gran escala de criptomonedas a lo largo de los años, ha pasado a utilizar el mezclador de bitcoins YoMix para lavar las ganancias robadas.
Según un informe de la empresa de análisis de blockchain Chainalysis, Lazarus ha adaptado su proceso de lavado después de que los gobiernos sancionaran múltiples servicios de mezcla de bitcoins que utilizaba el actor de amenazas.
La firma dice que YoMix ha experimentado una afluencia masiva de fondos a lo largo de 2023, que no se atribuye al aumento de popularidad sino más bien a la actividad de Lazarus.
El robo de criptomonedas es sólo un aspecto de las operaciones de Lazarus, aunque es una parte muy importante de sus actividades, que se cree que financia no sólo las operaciones del grupo sino también el programa de desarrollo de armas de Corea del Norte.
Algunas de las mayores operaciones de robo de criptomonedas que Lazarus llevó a cabo en los últimos años incluyen el hackeo de Ronin Network (Axie Infinity) de marzo de 2022 que recaudó 625 millones de dólares, el hackeo de Harmony Horizon en junio de 2022 que resultó en pérdidas de 100 millones de dólares y el robo de Alphapo de julio de 2023 de donde los piratas informáticos se embolsaron 60 millones de dólares en criptomonedas.
Desde enero de 2017 hasta diciembre de 2023, los grupos de atacantes norcoreanos, incluidos Lazarus, Kimsuky y Andariel, han robado aproximadamente 3 mil millones de dólares en criptomonedas, según un informe de Recorded Future.
El dinero pasó por varios servicios de mezcla de monedas que no cumplen con las regulaciones contra el lavado y aceptan depósitos incluso de billeteras marcadas por actividad sospechosa.
Los mezcladores rebotan los activos a través de una red ofuscada de poseedores de criptomonedas y los reciben en nuevas direcciones de billetera que no pueden rastrearse hasta los ataques originales.
A lo largo de los años, la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de EE. UU. identificó y sancionó algunas de las plataformas que Lazarus utilizó para lavar sus ganancias, incluidas Blender, Tornado Cash y Sinbad.
Sin embargo, cada vez que una plataforma era sancionada y aislada del espacio criptográfico, Lazarus se trasladaba a una nueva. Chainalysis dice que YoMix es el último servicio utilizado por el actor de amenazas norcoreano.