Los investigadores de criptomonedas están alertando tras el robo de 3,2 millones de dólares de varias Solana el 16 de mayo de 2025, que, según afirman, lleva el sello del Grupo Lazarus, vinculado a Corea del Norte. Los activos robados se vendieron rápidamente en cadena y se transfirieron a Ethereum antes de que una parte se blanqueara a través de Tornado Cash .
Solana de la víctima se vaciaron de tokens y los activos se convirtieron a Ethereum a través de un puente antes de que una parte se depositara en Tornado Cash .
El investigador de blockchain ZachXBT marcó públicamente el exploit , estableciendo paralelismos con la actividad anterior de Lazarus.
Los piratas informáticos puentearon los fondos robados
Los detectives de blockchain dieron la alarma por primera vez después de observar grandes transferencias desde la dirección “ C4WY…e525 ” en Solana .
Estas transacciones, vinculadas al infame Grupo Lazarus, implicaban el traslado de tokens robados a través de un puente y su conversión a Ethereum. ZachXBT detectó el ataque monitoreando la actividad del puente y traclos fondos que finalmente terminaron en una red de billeteras en Ethereum.
El 25 y el 27 de junio, se enviaron 400 ETH a Tornado Cash en dos depósitos separados. Estas 800 transacciones de ETH, por un total aproximado de 1,6 millones de dólares, se ajustan a las bien documentadas tácticas de lavado de activos del Grupo Lazarus
Tras hackeos de alto perfil como el de Bybit, donde se robaron 1.500 millones de dólares en febrero de 2025, y el de 100 millones de dólares del puente Horizon de Harmony en 2022, entre otros hackeos notables, Lazarus ha utilizado repetidamente Tornado Cash , junto con intercambios descentralizados y puentes entre cadenas, para lavar fondos ofuscando los rastros de transacciones.
Aproximadamente 1,25 millones de dólares aún residen en una dirección de billetera dent como " 0xa5…d528 " en Ethereum , almacenados en una combinación de DAI y ETH. Los analistas especulan que estos fondos podrían estar estacionados para su futuro lavado de activos o mantenerse inactivos intencionalmente para mitigar el riesgo de detección.
El Grupo Lazarus está activo desde 2017
El Grupo Lazarus se ha ganado la reputación de ser la organización de ciberdelincuencia más prolífica vinculada a estados, y las sanciones de Corea del Norte la designan como una Amenaza Persistente Avanzada vinculada a las unidades de inteligencia militar de élite de Pyongyang. A lo largo de los años, han robado miles de millones en criptomonedas desde 2017.
Su modus operandi suele comenzar con phishing o infiltración de malware en personal clave, aprovechando fallos entracinteligentes o vulnerabilidades de billeteras. Una vez obtenidos los fondos, se convierten rápidamente en activos líquidos, se dividen en múltiples billeteras y se blanquean entre cadenas mediante mezcladores como Tornado Cash y servicios que ofrecen intercambios instantáneos sin requisitos de Conozca a su Cliente (KYC).
Tornado Cash sigue siendo fundamental en la estrategia de blanqueo de Lazarus. Aunque sanciones estadounidenses en 2022, el alojamiento descentralizado y la inmutabilidad han permitido que el servicio evite el cierre permanente. En enero de 2025, un tribunal de apelaciones estadounidense revocó dichas sanciones, alegando consideraciones de libertad de expresión, a pesar de la creciente evidencia que vincula a Lazarus con el uso continuo de Mixer.
Los reguladores y las plataformas de intercambio ahora pueden tomar medidas para marcar las direcciones marcadas como sospechosas. Sin embargo, dada la velocidad y la complejidad del proceso de lavado de activos de Lazarus, la mezcla de servicios sigue siendo suficiente para ocultar el movimiento de los fondos robados.
