Envió un archivo por AirDrop y perdió millones: la historia de un día de trabajo desastroso
Ni la IA en el entorno de desarrollo pudo frenar a los hackers profesionales de Corea del Norte
El grupo norcoreano UNC4899 llevó a cabo un ataque sofisticado contra la infraestructura en la nube de una empresa de criptomonedas y robó activos digitales por millones de dólares. La intrusión comenzó con un archivo aparentemente inocuo que un desarrollador recibió bajo el pretexto de colaborar en un proyecto de código abierto.
Google describió el incidente en el informe Cloud Threat Horizons del primer semestre de 2026. Los especialistas atribuyen la operación al grupo UNC4899, también conocido como Jade Sleet, PUKCHONG, Slow Pisces y TraderTraitor.
El ataque comenzó con ingeniería social. Los atacantes convencieron al desarrollador de descargar un archivo comprimido supuestamente para colaborar en un proyecto. El archivo se abrió primero en el dispositivo personal y luego se trasladó al ordenador de trabajo mediante la función AirDrop.
El desarrollador abrió el archivo en un entorno de desarrollo integrado con soporte de inteligencia artificial. En su interior había un script malicioso en Python. Tras ejecutarlo, el código descargó y lanzó un binario que se hacía pasar por una utilidad de consola de Kubernetes.
El programa contactó con un dominio controlado por los atacantes y se convirtió en un canal oculto de acceso al equipo de trabajo. Mediante sesiones activas y credenciales disponibles, los atacantes accedieron a la infraestructura en la nube de Google Cloud. A continuación empezó la fase de reconocimiento: los atacantes examinaron los servicios y proyectos disponibles.
Después el grupo localizó un servidor de acceso intermedio y modificó los parámetros de la política de autenticación multifactor para conectarse al sistema. Tras iniciar sesión, los atacantes continuaron el reconocimiento y obtuvieron acceso a componentes aislados del entorno Kubernetes.
Para afianzarse en la infraestructura, UNC4899 empleó la llamada táctica de "vivir a costa de la nube". Los atacantes modificaron la configuración de despliegue de Kubernetes para que, al crear nuevos contenedores, se ejecutara automáticamente un comando bash. Ese comando descargaba un programa oculto de acceso remoto.
Paralelamente, los atacantes manipularon recursos de Kubernetes relacionados con la plataforma de integración y entrega continua. Añadieron en la configuración comandos que volcaron los tokens de servicio de las cuentas en los registros del sistema. Uno de los tokens pertenecía a una cuenta con privilegios elevados. Con él, el grupo escaló privilegios y comenzó a moverse lateralmente por la infraestructura.
El token permitió conectarse a un contenedor sensible que funcionaba en modo privilegiado. A través de él, los atacantes escaparon del contenedor e instalaron otro canal oculto de acceso para mantener una presencia persistente en el sistema.
Tras otra fase de reconocimiento, la atención de los atacantes se centró en la carga de trabajo relacionada con la gestión de cuentas de clientes. En la configuración del contenedor se almacenaban variables de entorno con credenciales estáticas de la base de datos. No había protección.
Con los datos obtenidos, el grupo se conectó a la base de datos de producción a través del proxy de Cloud SQL y ejecutó comandos SQL. Los atacantes modificaron los parámetros de varias cuentas de usuario, incluyendo restablecer contraseñas y actualizar las claves de autenticación multifactor. Tras tomar el control de esas cuentas, lograron extraer activos digitales por varios millones de dólares.
En el informe, Google indica que el incidente mostró el peligro de transferir archivos entre dispositivos personales y de trabajo, así como los riesgos de un manejo inadecuado de secretos en los sistemas en la nube. Las empresas deben implementar una verificación de identidad estricta, limitar la transferencia de datos entre dispositivos y aislar de forma rigurosa los entornos de trabajo en la nube. También recomiendan desactivar o restringir el intercambio de archivos por AirDrop y Bluetooth en equipos corporativos y supervisar atentamente procesos inusuales dentro de los contenedores.