Lazarus Group ataca de nuevo en un robo de 3,2 millones de dólares Solana

Investigadores de criptomonedas están alertando tras el robo de 3,2 millones de dólares de varias Solana el 16 de mayo de 2025, un desvío que, según afirman, presenta las características del Grupo Lazarus, vinculado a Corea del Norte. Los activos robados se vendieron rápidamente en la cadena de bloques y se transfirieron a Ethereum antes de que parte del dinero se blanqueara mediante Tornado Cash.

El 16 de mayo, las Solana fueron vaciadas de tokens, y los activos fueron convertidos a Ethereum a través de un puente antes de que una parte fuera depositada en Tornado Cash.

El investigador de blockchain ZachXBT marcó públicamente el exploit, estableciendo paralelismos con la actividad anterior de Lazarus.

Los piratas informáticos puentearon los fondos robados

Los expertos en blockchain dieron la voz de alarma tras observar grandes transferencias desde la dirección “C4WY…e525” en Solana.

Estas transacciones, vinculadas al infame Grupo Lazarus, implicaban el traslado de tokens robados a través de un puente y su conversión a Ethereum. ZachXBT detectó el ataque monitoreando la actividad del puente y traclos fondos que finalmente terminaron en una red de billeteras en Ethereum.

El 25 y el 27 de junio, se enviaron 400 ETH a Tornado Cash en dos depósitos separados. Estas transacciones de 800 ETH, que suman aproximadamente 1,6 millones de dólares, coinciden con las tácticas de lavado de dinero bien documentadas de Lazarus Group

Tras sonados ciberataques como el de Bybit, donde se robaron 1.500 millones de dólares en febrero de 2025, y el de 100 millones de dólares del puente Horizon de Harmony en 2022, entre otros ataques notables, Lazarus ha utilizado repetidamente Tornado Cash, junto con intercambios descentralizados y puentes entre cadenas, para blanquear fondos ocultando el rastro de las transacciones.

Aproximadamente 1,25 millones de dólares aún se encuentran en una dirección de billeteradentcomo “0xa5…d528” en Ethereum, en una combinación de DAI y ETH. Los analistas especulan que estos fondos podrían estar destinados a futuros lavados de dinero o mantenerse inactivos intencionalmente para mitigar el riesgo de detección.

El Grupo Lazarus está activo desde 2017

El Grupo Lazarus se ha ganado la reputación de ser la organización de ciberdelincuencia vinculada al Estado más prolífica, y las sanciones impuestas por Corea del Norte la catalogan como una Amenaza Persistente Avanzada, vinculada a las unidades de inteligencia militar de élite de Pyongyang. A lo largo de los años, han robado miles de millones en criptomonedas desde 2017.

Su modus operandi suele comenzar con phishing o infiltración de malware en personal clave, aprovechando fallos entracinteligentes o vulnerabilidades de billeteras. Una vez obtenidos los fondos, se convierten rápidamente en activos líquidos, se dividen en múltiples billeteras y se blanquean entre cadenas mediante mezcladores como Tornado Cash y servicios que ofrecen intercambios instantáneos sin requisitos de Conozca a su Cliente (KYC).

Tornado Cash sigue siendo fundamental para la estrategia de blanqueo de capitales de Lazarus. Si bien sanciones estadounidenses , el alojamiento descentralizado y la inmutabilidad le han permitido evitar el cierre definitivo. En enero de 2025, un tribunal de apelaciones estadounidense revocó dichas sanciones, alegando motivos relacionados con la libertad de expresión, a pesar de las crecientes pruebas que vinculaban a Lazarus con el uso continuado de mezcladores.

Los reguladores y las plataformas de intercambio ahora pueden tomar medidas para marcar las direcciones marcadas como sospechosas. Sin embargo, dada la velocidad y la complejidad del proceso de lavado de activos de Lazarus, la mezcla de servicios sigue siendo suficiente para ocultar el movimiento de los fondos robados.