$14 millones: el nuevo precio por clic. WOO X pagó en silencio la factura de los hackers Lazarus.
WOO X completó con éxito el ritual estándar para los intercambios de criptomonedas.
El 24 de julio de 2025 la plataforma cripto WOO X sufrió un ataque dirigido y sofisticado, que resultó en la extracción de $14 millones de 9 cuentas de usuario. La operación, según todos los indicios, fue obra del grupo de hackers norcoreano UNC4899 (Lazarus Group, TraderTraitor o Jade Sleet), que opera bajo el paraguas de la inteligencia de Corea del Norte. La empresa publicó un informe del incidente.
El ataque comenzó con una campaña de ingeniería social cuidadosamente planificada dirigida a uno de los desarrolladores de WOO. Los atacantes se hicieron pasar por miembros de la comunidad open-source y ofrecieron ayuda para depurar una herramienta de desarrollo. Tras una breve comunicación en un foro especializado, el desarrollador descargó el archivo enviado en su dispositivo móvil y luego lo abrió en el MacBook proporcionado por la empresa.
A pesar de la comprobación antivirus, el archivo estaba infectado con un backdoor oculto, camuflado como un proceso del sistema. Fue ese backdoor el que proporcionó acceso persistente al entorno de desarrollo de la compañía y permitió a los atacantes realizar reconocimiento, obtener tokens administrativos y modificar los datos de 9 cuentas valiosas: direcciones de correo electrónico, hashes de contraseñas y secretos 2FA. Semanas después de la infección se iniciaron retiradas de fondos en varias redes: Bitcoin, Ethereum, BNB y Arbitrum.
Las transacciones no autorizadas se detectaron pasadas 2 horas y se detuvieron de inmediato. Todos los usuarios afectados recibieron compensación completa del tesoro de WOO. Los retiros se realizaron usando una sesión VPN activa protegida con autenticación de dos factores: el ataque no sorteó las medidas, sino que se integró en un contexto legítimo. Se explotó la infraestructura de GCP, Kubernetes (en particular GKE), Argo CD y Apollo. En uno de los microservicios se inyectó un POD falso con un backdoor que mantuvo un canal oculto y persistente hasta el incidente.
La cronología mostró que el primer contacto con el desarrollador ocurrió el 28 de junio, y que las acciones activas para escalar privilegios empezaron el 10 de julio. Los retiros se iniciaron el 24 de julio. Los movimientos fueron congelados inmediatamente en toda la plataforma, los datos de los usuarios fueron restaurados y el incidente fue contenido.
Durante la investigación de tres semanas se realizó una auditoría completa de la infraestructura y se aplicaron medidas de seguridad a gran escala. Entre ellas están la aislamiento y la migración total de todos los entornos, la implementación de soluciones XDR en entornos de contenedores para detectar ataques en Kubernetes, la activación de Google Security Command Center, la reducción del tiempo de vida de las sesiones GCP a 8 horas, políticas IAM actualizadas y filtrado de todas las cuentas de servicio. Todos los activos se trasladaron a una infraestructura nueva desde cero, con segmentación estricta y principios de confianza cero (Zero Trust).
Ahora todo código de terceros pasa por una verificación automática de seguridad obligatoria, el desarrollo está totalmente aislado del entorno de producción y el personal ha sido entrenado para reconocer técnicas de ingeniería social. Se ha implantado analítica de comportamiento para rastrear anomalías en accesos y retiros con modelos de ML. También se mejoró el SIEM y se estableció un programa continuo de threat hunting.
WOO también advirtió sobre una nueva ola de phishing: los atacantes se hacen pasar por el soporte de WOO y engañan a usuarios preocupados por demoras en los retiros. La administración insta a verificar la autenticidad de todos los dominios y correos electrónicos.
El incidente con Lazarus Group es solo un eslabón en la cadena de ataques de 2025: en la primera mitad del año Web3 perdió $3,1 mil millones por explotaciones, una cifra que ya supera el total de pérdidas de 2024. Basta recordar el hackeo a Bybit en febrero por $1,5 mil millones o el incidente de abril con CoinDCX por $50 millones. Cada vez más las víctimas son las personas —desarrolladores, ingenieros y administradores— y no solo la tecnología.
A pesar del incidente, la plataforma siguió completamente operativa y las reservas de la compañía no se vieron afectadas. En WOO recalcan que la protección de los usuarios es su prioridad y que seguirán reforzando la seguridad en todos los niveles. «Resistimos gracias a socios, especialistas y la comunidad, y con ellos saldremos más fuertes», declararon en la compañía.