Bitrefill Revela Ataque Cibernético, Sostiene que el Grupo Lazarus de Corea del Norte Está Involved

La plataforma de comercio electrónico de criptomonedas Bitrefill dijo que fue el objetivo de un ataque cibernético más temprano este mes que resultó en fondos robados y limitada exposición de datos de clientes, con indicadores que apuntan al Grupo Lazarus vinculado a Corea del Norte como un probable perpetrador. El ciberataque, que comenzó el 1 de marzo, se originó en una laptop de empleado comprometida, según el informe de incidentes de la empresa. Los atacantes pudieron extraer credenciales de legado vinculadas a sistemas de producción, lo que les permitió elevar el acceso a través de la infraestructura de Bitrefill, incluidos segmentos de su base de datos interna y ciertas carteras de criptomonedas calientes.

Los atacantes vaciaron una cantidad no especificada de fondos de las carteras calientes de la empresa mientras explotaban también sus sistemas de inventario de tarjetas de regalo para realizar compras sospechosas con proveedores. La empresa no especificó el impacto financiero total, pero dijo que absorberá las pérdidas utilizando capital operativo. La intrusión se detectó por primera vez a través de patrones de compra irregulares y anomalías en la actividad de los proveedores. En respuesta, Bitrefill tomó temporalmente sus sistemas en línea para contener la brecha en sus operaciones globales. La empresa dijo que los servicios, incluyendo pagos y acceso a cuentas, han vuelto a niveles normales. Como parte del ataque, aproximadamente 18,500 registros de compras fueron accedidos. Los datos expuestos incluyen direcciones de correo electrónico, direcciones de pago de criptomonedas y metadatos como direcciones IP. Alrededor de 1,000 de esos registros involucraron nombres de clientes cifrados, que se están tratando como potencialmente expuestos debido a la posibilidad de que los atacantes accedieron a claves de cifrado.

Bitrefill dijo que ha notificado a los usuarios afectados directamente. A pesar de la brecha, la empresa enfatizó que almacena datos personales mínimos y no requiere verificación de conocimiento del cliente obligatoria para la mayoría de las transacciones. Cualquier información de KYC se maneja por proveedores externos y no se almacena dentro de los sistemas de Bitrefill. La empresa agregó que no hay evidencia de que su base de datos completa haya sido exfiltrada o que los datos de los clientes fueran el objetivo principal. "Basado en nuestra investigación y registros, no tenemos razón para pensar que los datos de los clientes fueron el objetivo", dijo la empresa, destacando que los atacantes parecían realizar consultas limitadas consistentes con la búsqueda de activos valiosos como holdings de criptomonedas y inventario de tarjetas de regalo.

El Grupo Lazarus de Corea del Norte estuvo involucrado Bitrefill citó varios indicadores que vinculan el ataque al Grupo Lazarus, incluyendo similitudes en malware, infraestructura reutilizada como direcciones IP y cuentas de correo electrónico, y patrones de transacciones en cadena. El grupo, a menudo asociado con Corea del Norte, ha sido vinculado a algunas de las mayores robos de criptomonedas en los últimos años a través de su subgrupo especializado, Bluenoroff. Las empresas de seguridad cibernética, incluyendo zeroShadow, SEAL911 y RecoverisTeam, asistieron en la respuesta y la investigación, junto con analistas de cadena de bloques y fuerzas del orden. La empresa dijo que está implementando medidas de seguridad adicionales, incluyendo sistemas de monitoreo ampliados y controles internos, para prevenir incidentes similares. El ataque destaca las preocupaciones continuas sobre amenazas cibernéticas patrocinadas por el estado en el sector de activos digitales. Según la empresa de análisis de blockchain Chainalysis, los grupos vinculados a Corea del Norte fueron responsables de más de $2 mil millones en robos de criptomonedas en 2025, lo que representa una parte significativa de la actividad ilícita total en el espacio.

Bitrefill dijo que las operaciones se han estabilizado después del incidente y expresó confianza en su recuperación, destacando que la actividad de los clientes y los volúmenes de ventas han vuelto a niveles típicos. Este post Bitrefill Discloses Cyberattack, Points to North Korea’s Lazarus Group apareció por primera vez en Bitcoin Magazine y está escrito por Micah Zimmerman.