Se sospecha que un actor de amenazas norcoreano conocido como UNC4899 está detrás de una sofisticada campaña de violación de la nube que tuvo como objetivo organizaciones criptográficas en 2025 y robó millones de dólares en criptomonedas.
Se ha determinado con cierta confianza que esta actividad proviene de un adversario patrocinado por el estado y también se ha rastreado bajo los nombres en clave Jade Sleet, PUKCHONG, Slow Pisces y TraderTraitor.
“Este incidente se destaca por su combinación de ingeniería social, explotación de mecanismos de transferencia de datos entre pares (P2P) de dispositivos de individuos a empresas, flujos de trabajo y, en última instancia, migración a la nube para adoptar la tecnología Living Off the Cloud (LOTC)”, señala el gigante tecnológico en su Informe H1 Cloud Threat Horizon de 2026, compartido con The Hacker News.
Una vez en el entorno de la nube, los atacantes supuestamente explotaron flujos de trabajo legítimos de DevOps para obtener credenciales, violar los límites de los contenedores y modificar las bases de datos de Cloud SQL para facilitar el robo de criptomonedas.
Según Google Cloud, la cadena de ataque comienza cuando el dispositivo personal de un desarrollador compromete una estación de trabajo corporativa y se traslada a la nube para realizar cambios no autorizados en la lógica financiera.
Todo comenzó cuando los actores de amenazas utilizaron tácticas de ingeniería social para engañar a los desarrolladores para que descargaran archivos con el pretexto de colaborar en un proyecto de código abierto. Luego, el desarrollador transfirió el mismo archivo al dispositivo de la empresa a través de AirDrop.
«La víctima utilizó un entorno de desarrollo integrado (IDE) asistido por IA para manipular el contenido del archivo y, en última instancia, ejecutar el código Python malicioso incrustado, generando y ejecutando un binario disfrazado de una herramienta de línea de comandos de Kubernetes», dijo Google.
Luego, este binario se conectó a un dominio controlado por el atacante y actuó como una puerta trasera en la máquina corporativa de la víctima, dándole al atacante los medios para migrar al entorno de Google Cloud utilizando una sesión autenticada y credenciales disponibles. A este paso le siguió una fase inicial de reconocimiento destinada a recopilar información sobre diversos servicios y proyectos.
El ataque avanza a la siguiente fase con el descubrimiento del host bastión, donde el atacante modifica sus atributos de política de autenticación multifactor (MFA) para obtener acceso a él y realizar reconocimientos adicionales, como navegar a pods específicos dentro del entorno de Kubernetes.
Luego, UNC4899 adoptó un enfoque de vivir fuera de la nube (LotC) y configuró un mecanismo de persistencia modificando la configuración de implementación de Kubernetes para que los comandos bash se ejecuten automáticamente cuando se crea un nuevo pod. El comando en sí descargó una puerta trasera.
Estas son algunas de las otras medidas tomadas por los actores de amenazas:
El recurso de Kubernetes asociado con la solución de plataforma CI/CD de la víctima se modificó para inyectar un comando que muestra el token de la cuenta de servicio en los registros. Los atacantes pudieron obtener el token de una cuenta de servicio CI/CD altamente privilegiada y escalar sus privilegios, lo que les permitió realizar movimientos laterales dirigidos específicamente a pods que manejan la política de red y el equilibrio de carga. Los tokens de cuentas de servicio robados se utilizaron para autenticarse en pods de infraestructura sensibles que se ejecutan en modo privilegiado, escapar de contenedores e implementar puertas traseras para acceso persistente. Los actores de amenazas llevaron a cabo otra ronda de reconocimiento antes de centrar su atención en las cargas de trabajo responsables de gestionar la información de los clientes, como las identidades de los usuarios, la seguridad de las cuentas y la información de las carteras de criptomonedas. El atacante usó esto para extraer credenciales de bases de datos estáticas que no estaban almacenadas de forma segura en las variables de entorno del pod. Luego, las credenciales se utilizaron indebidamente para acceder a la base de datos de producción a través de Cloud SQL Auth Proxy y ejecutar comandos SQL para modificar cuentas de usuario. Esto incluye restablecer contraseñas y actualizar semillas de MFA para varias cuentas de alto valor. El ataque utilizó con éxito las cuentas comprometidas para extraer millones de dólares en activos digitales.
El incidente «destaca los importantes riesgos que plantean los métodos de transferencia de datos P2P y otros puentes de datos, los modos de contenedores privilegiados y el manejo inseguro de secretos en entornos de nube», dijo Google. «Las organizaciones deben adoptar una estrategia de defensa en profundidad por capas que valide estrictamente las identidades, restrinja la transferencia de datos en los puntos finales y aplique un aislamiento estricto dentro de los entornos de ejecución de la nube para limitar el alcance de un evento de intrusión».
Para combatir esta amenaza, se recomienda a las organizaciones implementar acceso contextual y MFA resistente al phishing, asegurarse de que solo se implementen imágenes confiables, aislar los nodos comprometidos para que no establezcan conexiones con hosts externos, monitorear procesos de contenedores inesperados, implementar una administración secreta sólida y aplicar políticas que deshabiliten o restrinjan el intercambio de archivos entre pares mediante AirDrop o Bluetooth y el montaje de medios externos no administrados en dispositivos corporativos.
Source link
