El actor de amenaza vinculado a Corea del Norte conocido como UNC4899 se ha atribuido a ataques dirigidos a dos organizaciones diferentes al acercarse a sus empleados a través de LinkedIn y Telegram.
«Bajo la apariencia de oportunidades independientes para el trabajo de desarrollo de software, UNC4899 aprovechó las técnicas de ingeniería social para convencer con éxito a los empleados específicos de que ejecute contenedores de Docker maliciosos en sus respectivas estaciones de trabajo», dijo la división de la nube de Google (PDF) en su informe de Horizons de amenazas en la nube para H2 2025.
UNC4899 se superpone con la actividad rastreada debajo de los apodos Jade Sleet, Pukchong, Slow Piscis y el comerciante. Activo desde al menos 2020, el actor patrocinado por el estado es conocido por su objetivo de las industrias de criptomonedas y blockchain.
En particular, el grupo de piratería se ha implicado en los atractores de criptomonedas significativas, incluido el de Axie Infinity en marzo de 2022 ($ 625 millones), DMM Bitcoin en mayo de 2024 ($ 308 millones) y Bybit en febrero de 2025 ($ 1.4 mil millones).
Otro ejemplo que destaca su sofisticación es la sospecha de explotación de la infraestructura de JumpCloud para dirigirse a clientes aguas abajo dentro de la vertical de la criptomoneda.
Según DTEX, el comerciante está afiliado a la tercera oficina (o departamento) de la Oficina General de Reconocimiento de Corea del Norte y es el más prolífico de cualquiera de los grupos de piratería de Pyongyang cuando se trata de robo de criptomonedas.
Los ataques montados por el actor de amenaza han implicado aprovechar los señuelos con temática de empleo o cargar paquetes de NPM maliciosos, y luego acercarse a los empleados de las compañías objetivo con una oportunidad lucrativa o pedirles que colaboren en un proyecto GitHub que luego conduciría a la ejecución de las bibliotecas rebeldes de NPM.
«El comerciante ha demostrado un interés sostenido en las superficies de ataque centradas en la nube y adyacentes en la nube, a menudo con un objetivo final de comprometer a las empresas que son clientes de plataformas en la nube en lugar de las plataformas mismas», dijo la firma de seguridad en la nube Wiz en un informe detallado del comerciante de comerciante esta semana.
Los ataques observados por Google Cloud se dirigieron a los entornos de Servicios web de Google Cloud y Amazon de las organizaciones respectivas (AWS), allanando el camino para un descargador llamado GlassCannon que luego se usa para servir en puros como Plottwist y Mazewire que puede establecer conexiones con un servidor controlado por el atacante.
En el incidente que involucra el entorno de Google Cloud, se ha encontrado que los actores de amenaza emplean credenciales robadas para interactuar de forma remota utilizando Google Cloud CLI sobre un servicio VPN anónimo, llevando a cabo extensas actividades de robo de credenciales y reconocimiento. Sin embargo, fueron frustrados en sus esfuerzos debido a la configuración de autenticación multifactor (MFA) aplicada a las credenciales de la víctima.
«UNC4899 finalmente determinó que la cuenta de la víctima tenía privilegios administrativos para el proyecto de Google Cloud y deshabilitó los requisitos de MFA», dijo Google. «Después de obtener acceso con éxito a los recursos específicos, inmediatamente volvieron a habilitar el MFA para evadir la detección».
Se dice que la intrusión dirigida al entorno AWS de la segunda víctima siguió a un libro de jugadas similar, solo que esta vez los atacantes usaron claves de acceso a largo plazo obtenidas de un archivo de credencial de AWS para interactuar de forma remota a través de AWS CLI.
Aunque los actores de amenaza se encontraron con obstáculos de control de acceso que les impidieron realizar cualquier acción delicada, Google dijo que encontró evidencia que probablemente indicó el robo de las cookies de sesión del usuario. Estas cookies se usaron luego para identificar configuraciones relevantes en la nube y cubos S3.
UNC4899 «Aprovechó los permisos administrativos inherentes aplicados a su acceso para cargar y reemplazar los archivos JavaScript existentes con los que contienen código malicioso, que fueron diseñados para manipular las funciones de criptomonedas y activar una transacción con la billetera de criptomonedas de una organización objetivo», dijo Google.
Los ataques, en ambos casos, terminaron con los actores de amenaza retirando con éxito varios millones de criptomonedas, agregó la compañía.
El desarrollo se produce cuando Sonatype dijo que marcó y bloqueó 234 paquetes únicos de Malware NPM y PYPI atribuidos al Grupo Lázaro de Corea del Norte entre enero y julio de 2025. Algunas de estas bibliotecas están configuradas para eliminar una credencial conocida conocida como Beaverail, que se asocia con una campaña de larga duración duda con una entrevista contagiosa.
«Estos paquetes imitan las herramientas populares del desarrollador, pero funcionan como implantes de espionaje, diseñados para robar secretos, hosts de perfil y abrir puertas traseras persistentes en infraestructura crítica», dijo la firma de seguridad de la cadena de suministro de software. «El aumento de la actividad en H1 2025 demuestra un pivote estratégico: Lázaro ahora está integrando malware directamente en registros de paquetes de código abierto, a saber, NPM y PYPI, a un ritmo alarmante».