En el ecosistema de las criptomonedas , las monedas tienen una historia, rastreada en las cadenas de bloques inmutables que sustentan su economía. La única excepción, en cierto sentido, son las criptomonedas recién generadas por el poder computacional de su propietario. Por lo tanto, parece que los piratas informáticos de Corea del Norte han comenzado a adoptar un nuevo truco para lavar las monedas que roban a las víctimas en todo el mundo: pagan sus monedas sucias y robadas en servicios que les permiten extraer otras nuevas e inocentes. Ese truco de minería le permite a APT43 aprovechar el hecho de que la criptomoneda es relativamente fácil de robar mientras evita el rastro forense de evidencia que deja en las cadenas de bloques, lo que puede dificultar el cobro de los ladrones. “Rompe la cadena”, dice Joe Dobson, analista de inteligencia de amenazas de Mandiant. “Esto es como un ladrón de bancos que roba plata de la bóveda de un banco y luego va a un minero de oro y le paga al minero con plata robada. Todo el mundo está buscando la plata mientras el ladrón de bancos anda por ahí con oro recién extraído”.
Mandiant dice que comenzó a ver signos de la técnica de lavado basada en la minería de APT43 en agosto de 2022. Desde entonces, ha visto decenas de miles de dólares en criptomonedas fluir hacia servicios de hashing, servicios como NiceHash y Hashing24, que permiten a cualquier persona comprar y vender potencia informática. para calcular las cadenas matemáticas conocidas como "hashes" que son necesarias para extraer la mayoría de las criptomonedas, de lo que cree que son las billeteras criptográficas APT43. Mandiant dice que también ha visto fluir cantidades similares a las billeteras APT43 de los "grupos" de minería, servicios que permiten a los mineros contribuir con sus recursos de hashing a un grupo que paga una parte de cualquier criptomoneda que el grupo extrae colectivamente. (Mandiant se negó a nombrar los servicios de hash o los grupos de minería en los que participó APT43).
Pero también puede deberse a que APT43 no tiene la tarea principal de robar criptomonedas, dice el analista de Mandiant Michael Barnhart. En cambio, parece que al grupo se le ordenó generar suficientes ganancias a través del delito cibernético para financiar su trabajo de espionaje. Como resultado, ha buscado robar sumas más pequeñas de criptomonedas de una gran cantidad de víctimas, dice, con el objetivo de subsistir de forma independiente. “No van a buscar dinero en efectivo”, dice Barnhart. “Están tratando de llegar a fin de mes”.
“Es bastante preocupante que muchos pools de minería en realidad no evalúen quién participa en ellos”, dice Akartuna. “Entonces, potencialmente podría haber actores ilícitos que estén contribuyendo con poder de cómputo a los grupos de minería, y esos grupos de minería no tienen las herramientas para identificarlos”. Las firmas de rastreo de criptomonedas, incluidas Chainalysis y Elliptic, dicen que han visto a actores criminales buscar criptomonedas recién extraídas para financiar sus actividades o diluir y ofuscar sus ganancias. Elliptic dice, por ejemplo, que ha visto a un grupo afiliado a la organización militante Hamas extraer criptomonedas como un medio de lo que describe como financiación del terrorismo. Pero Arda Akartuna, analista de amenazas en Elliptic, dice que pagar criptomonedas sucias en un servicio de hashing para extraer criptomonedas limpias es un fenómeno particularmente preocupante. Actualización a las 2 p. m. ET, 28 de marzo de 2023: se aclararon las opiniones de Arda Akartuna de Eliptic con respecto a las tácticas de criptolavado de APT23. En teoría, los pagos de esos grupos deberían ser limpios, sin vínculos con los piratas informáticos de APT43; después de todo, ese parece ser el objetivo del ejercicio de lavado del grupo. Pero en algunos casos de descuido operativo, Mandiant dice que descubrió que los fondos, sin embargo, estaban mezclados con criptomonedas en billeteras que había identificado previamente a partir de su seguimiento de años de campañas de piratería APT43. Al igual que muchos grupos de piratas informáticos de Corea del Norte, APT43 también mantiene una actividad secundaria en el delito cibernético centrado en las ganancias, según Mandiant, robando cualquier criptomoneda que pueda enriquecer al régimen de Corea del Norte o incluso simplemente financiar las propias operaciones de los piratas informáticos. Y a medida que los reguladores de todo el mundo han reforzado su control sobre los intercambios y los servicios de lavado que los ladrones y piratas informáticos utilizan para cobrar monedas contaminadas por delincuentes, APT43 parece estar probando un nuevo método para cobrar los fondos que roba mientras evita que sean incautados o congelados: Paga esa criptomoneda robada en "servicios de hashing" que permiten a cualquier persona alquilar tiempo en computadoras utilizadas para extraer criptomonedas, recolectando monedas recién extraídas que no tienen vínculos aparentes con actividades delictivas.
