A través de una billetera digital, Huione Pay fue la empresa receptora de las criptomonedas robadas por hackers de Lazarus, por valor de más de 150,000 dólares.
Una importante empresa de pagos de Camboya recibió criptomonedas por un valor de más de 150,000 dólares de una billetera digital utilizada por el grupo de piratas informáticos norcoreano Lazarus, según muestran los datos de blockchain, un vistazo a cómo el colectivo criminal ha lavado fondos en el sudeste asiático.
Huione Pay, que tiene su sede en Phnom Penh y ofrece servicios de cambio de divisas, pagos y remesas, recibió las criptomonedas entre junio de 2023 y febrero de este año, según datos de blockchain no informados anteriormente revisados por Reuters.
Las criptomonedas se enviaron a Huione Pay desde una billetera digital anónima que, según dos analistas de blockchain, fue utilizada por los hackers de Lazarus para depositar fondos robados a tres empresas de criptomonedas en junio y julio del año pasado, principalmente a través de ataques de phishing.
El FBI dijo en agosto de 2023 que Lazarus saqueó alrededor de 160 millones de dólares de las empresas de criptomonedas: Atomic Wallet y CoinsPaid, con sede en Estonia; y Alphapo, registrada en San Vicente y las Granadinas. La agencia no reveló detalles. Estos fueron los últimos de una serie de robos de Lazarus que, según Estados Unidos, están financiando los programas de armas de Pyongyang.
Las criptomonedas permiten a Corea del Norte eludir las sanciones internacionales, según las Naciones Unidas. Eso, a su vez, puede ayudarle a pagar bienes y servicios prohibidos, según el Royal United Services Institute, un grupo de expertos en defensa y seguridad con sede en Londres.
La junta directiva de Huione Pay dijo en un comunicado que la empresa no sabía que “recibió fondos indirectamente” de los ataques y citó las múltiples transacciones entre su billetera y la fuente del ataque como la razón por la que no estaba al tanto. La billetera que envió los fondos no estaba bajo su administración, aseguró Huione.
Los terceros no pueden controlar las transacciones hacia y desde billeteras que no están bajo su administración, sin embargo, las herramientas de análisis de blockchain permiten a las empresas identificar billeteras de alto riesgo y tratar de evitar la interacción con ellas, dicen los expertos en seguridad criptográfica.
Huione Pay, cuyos tres directores incluyen a Hun To, primo del primer ministro Hun Manet, se negó a especificar por qué había recibido fondos de la billetera o a proporcionar detalles de sus políticas de cumplimiento. La compañía dijo que la dirección de Hun To no incluye la supervisión diaria de sus operaciones.
Autoridades investigan operación de criptomonedas ejecutada por hackers de Lazurus
El Banco Nacional de Camboya (NBC, por sus siglas en inglés) dijo en un comunicado a Reuters que las empresas de pagos como Huione no tenían permitido negociar ni comercializar criptomonedas ni activos digitales. En 2018, dijo que la prohibición buscaba evitar pérdidas de inversión debido a la volatilidad de las criptomonedas, el cibercrimen y el anonimato de la tecnología “que puede causar riesgos de lavado de dinero y financiamiento del terrorismo”.
La NBC dijo a Reuters que “no dudaría en imponer medidas correctivas” contra Huione, sin decir si tal acción estaba planeada. La misión norcoreana ante las Naciones Unidas en Nueva York no respondió a una solicitud de comentarios. Una persona de su misión ante las Naciones Unidas en Ginebra aseguró a Reuters en enero que los informes anteriores sobre Lazarus eran “todo especulación y desinformación”.
Atomic Wallet y Alphapo no respondieron a las solicitudes de comentarios. CoinsPaid dijo a Reuters que sus propios datos mostraban que las criptomonedas robadas por valor de 3,700 dólares llegaron a la billetera Huione Pay.
Aunque las criptomonedas son anónimas y fluyen fuera del sistema bancario convencional, sus movimientos son rastreables en la cadena de bloques, un libro de contabilidad público e inmutable que registra la cantidad de criptomonedas enviadas de una billetera a otra y cuándo se produjeron las transacciones.
La firma estadounidense de análisis de cadenas de bloques TRM Labs dijo a Reuters en un comunicado que Huione Pay era una de varias plataformas de pago y corredores extrabursátiles (OTC) que recibieron la mayoría de las criptomonedas robadas en el hackeo de Atomic Wallet.
En su declaración, TRM también dijo que los hackers, para ocultar sus huellas, habían convertido las criptomonedas robadas a través de una compleja operación de lavado en diferentes criptomonedas, incluida tether (USDT), una llamada “moneda estable” que mantiene un valor constante en dólares. Para las transacciones de tether, utilizaron la cadena de bloques Tron, un registro de rápido crecimiento que es popular por su velocidad y bajo costo, agregó TRM.
“Esta mayoría de los fondos se convirtieron a USDT en la cadena de bloques Tron y aparentemente se enviaron a bolsas, servicios y OTC, uno de los cuales fue Huione Pay”, dijo TRM Labs a Reuters, refiriéndose a las acciones de los piratas informáticos. No proporcionó más detalles.
Un portavoz de Tron, registrado en las Islas Vírgenes Británicas, dijo: “Tron condena el abuso de las tecnologías de cadena de bloques y se dedica a combatir estos y otros actores maliciosos, en todas las formas y donde sea que se encuentren”. El portavoz no hizo comentarios directos sobre el hackeo de Atomic Wallet.
La investigación de Estonia sobre los ataques de 2023 a Atomic Wallet y Coinspaid sigue abierta, dijo Ago Ambur, director de la oficina de delitos cibernéticos de Estonia. La policía de delitos cibernéticos de San Vicente y las Granadinas no respondió a las solicitudes de comentarios sobre el ataque a Alphapo.
La firma estadounidense de análisis de cadenas de bloques Merkle Science, que cuenta como clientes a las agencias de aplicación de la ley en Estados Unidos y Gran Bretaña y que ha examinado anteriormente los robos de Lazarus, examinó el movimiento de monedas de los ataques de 2023 para Reuters.
Su CEO, Mriganka Pattnaik, dijo que rastrear los fondos de los ataques de Lazarus era difícil debido a los métodos complejos utilizados para ocultar el rastro del dinero.
Merkle Science dijo que su investigación mostró que hubo tres “saltos” -o transferencias- de los piratas informáticos de Atomic Wallet a la billetera anónima que luego transfirió fondos a Huione. Las transferencias entre múltiples billeteras de criptomonedas suelen ser una señal de alerta para las organizaciones que buscan blanquear fondos, dicen los expertos en delitos financieros y los analistas de cadenas de bloques.
Entre junio y septiembre de 2023, el hacker de Lazarus que atacó a Atomic Wallet envió tether por un valor de alrededor de 87,000 a la billetera anónima, según los datos descubiertos por Merkle Science. La billetera también recibió tether por un valor de alrededor de 15,000 robados de CoinsPaid y Alphapo, dijo Merkle Science.
En enero, las Naciones Unidas dijeron que Lazarus había compartido redes de lavado de dinero con delincuentes en el sudeste asiático, sin nombrar ninguna plataforma involucrada.
Jeremy Douglas, ex director regional de la Oficina de las Naciones Unidas contra la Droga y el Delito para el sudeste asiático, dijo que la región estaba inundada de proveedores de servicios de criptomonedas no regulados y casinos en línea que actuaban como “bancos clandestinos”. No hizo comentarios sobre Huione.
Grupos como Lazarus se esfuerzan por mantenerse por delante de las fuerzas del orden, agregó, con la tecnología y la infraestructura que se han extendido por el sudeste asiático ahora como una parte fundamental de su capacidad para hacerlo.
“El sudeste asiático se ha convertido, en muchos sentidos, en la zona cero mundial, el principal campo de pruebas para las operaciones de blanqueo de dinero y ciberdelincuencia de alta tecnología”, afirmó.
El organismo del G7 encargado de las finanzas ilícitas, el Grupo de Acción Financiera Internacional (GAFI), eliminó el año pasado a Camboya de su “lista gris” de países con políticas deficientes contra el blanqueo de dinero, citando mejoras en su régimen.
Sin embargo, un portavoz del GAFI remitió a Reuters a un informe de 2021 que destacaba “grandes lagunas” en las normas de financiación ilícita de Camboya para las empresas de criptomonedas, y añadió que la evaluación seguía en pie.
El banco central de Camboya dijo que estaba redactando una normativa para identificar y castigar el uso de criptomonedas para actividades ilegales, como el fraude, el blanqueo de dinero y las amenazas a la ciberseguridad.