Todos pensaban que era mantenimiento técnico. En realidad — la huida de Lazarus con $11 millones a través de una puerta trasera en BitoPro

El exchange de criptomonedas BitoPro, con sede en Taiwán, confirmó que fue víctima de un ataque informático en el que se sustrajeron activos digitales por un valor aproximado de 11 millones de dólares. Tras una investigación interna, la empresa atribuye la responsabilidad del incidente al tristemente célebre grupo norcoreano Lazarus.

En el comunicado de BitoPro se subraya que la naturaleza del ataque, los métodos de infiltración y el posterior blanqueo de fondos coinciden plenamente con los esquemas ya documentados que suele emplear el grupo Lazarus. Se mencionan como ejemplos no solo otros robos en plataformas de criptomonedas, sino también ataques al sistema internacional SWIFT con el fin de transferir fondos desde bancos.

BitoPro es uno de los mayores exchanges de criptomonedas orientado principalmente al mercado taiwanés. Soporta operaciones con moneda fiduciaria (el dólar taiwanés, TWD) y ofrece una amplia variedad de activos digitales. La plataforma cuenta con más de 800 mil usuarios registrados y un volumen diario de transacciones que supera los $30 millones.

El ataque ocurrió el 8 de mayo de 2025 durante una actualización del monedero caliente. Los atacantes aprovecharon una vulnerabilidad en el monedero antiguo, desde el cual se realizó un envío masivo no autorizado de criptomonedas. Los fondos fueron extraídos eludiendo las medidas de seguridad a través de varios blockchains: Ethereum, Tron, Solana y Polygon.

Los activos robados comenzaron a ser rápidamente lavados mediante plataformas descentralizadas y mezcladores: Tornado Cash, ThorChain y Wasabi Wallet. Estas herramientas son ampliamente utilizadas por hackers para ocultar rastros y dificultar el seguimiento de las transacciones.

La información sobre el incidente no fue divulgada durante un tiempo. BitoPro reconoció oficialmente el hackeo solo el 2 de junio, casi un mes después. Según informaron, las operaciones clave no se vieron afectadas, y los fondos comprometidos en los monederos calientes fueron repuestos rápidamente desde un fondo de reserva.

La investigación también concluyó que no hubo participación de empleados de la empresa. No obstante, los atacantes ejecutaron una operación avanzada de ingeniería social e introdujeron malware en el dispositivo de un trabajador responsable de gestionar la infraestructura en la nube.

A través del sistema infectado, los atacantes obtuvieron tokens de sesión de AWS — claves temporales de acceso a Amazon Web Services — lo que les permitió evadir incluso la autenticación multifactor (MFA) y obtener acceso administrativo al entorno en la nube del exchange.

Luego, el servidor de control (C2) comenzó a enviar comandos al malware. Durante la fase de preparación del ataque, se inyectaron scripts en el sistema que gestionaba el monedero caliente, lo que permitió a los hackers camuflar sus acciones como parte de la actividad técnica habitual. Una vez que se completó la actualización del monedero y comenzaron los movimientos de activos, los atacantes ejecutaron el retiro de fondos de manera sincronizada, haciéndolo parecer lo más posible a operaciones internas estándar, lo que retrasó la detección del incidente.

Tras detectar la intrusión, la empresa detuvo la actividad de la plataforma y realizó una rotación de claves criptográficas. Sin embargo, las riquezas filtradas ya eran, lamentablemente, irrecuperables.

BitoPro informó del incidente a los organismos reguladores pertinentes y contrató a un equipo externo de expertos en ciberseguridad para llevar a cabo una investigación completa. El trabajo concluyó el 11 de junio.

El grupo Lazarus es desde hace tiempo conocido como uno de los actores más activos y técnicamente sofisticados en el ámbito del ciberdelito relacionado con criptomonedas. Está detrás de varios de los robos más grandes de la industria, incluyendo el reciente desfalco de 1.500 millones de dólares en la plataforma Bybit. En ese caso no solo se trató de una pérdida significativa, sino de la continuación de la estrategia a largo plazo de Lazarus: ataques dirigidos a la infraestructura Web3, exchanges de criptomonedas y servicios descentralizados de intercambio financiero.