Netcrook Logo
👤 LOGICFALCON
🗓️ 09 Mar 2026   🌍 Asia

Empresa Cripto Cae Víctima: Un Error con AirDrop Permite a Hackers Norcoreanos Robar Millones

Una cadena de ataque patrocinada por el Estado comenzó con un solo archivo enviado por AirDrop, exponiendo debilidades críticas en la seguridad en la nube y los flujos de trabajo DevOps.

Todo comenzó con un desarrollador bien intencionado, un archivo de apariencia inocente y la comodidad de AirDrop. Pero detrás de este intercambio digital cotidiano acechaba UNC4899 - un grupo de hackers norcoreanos conocido por su astucia y paciencia. En un ciberatraco digno de thriller, un solo error condujo al robo de millones en criptomonedas, revelando cuán peligroso puede ser el puente entre la tecnología personal y la corporativa.

La brecha se desarrolló en etapas, cada una explotando una brecha diferente en las defensas cibernéticas corporativas. Todo comenzó cuando un desarrollador desprevenido fue convencido - mediante clásica ingeniería social - de descargar un archivo como parte de lo que parecía una colaboración en un proyecto de código abierto. Confiando en la comodidad, el desarrollador transfirió el archivo comprimido a su dispositivo corporativo usando AirDrop, una función de transferencia de datos entre pares que a menudo pasa desapercibida en los protocolos de seguridad.

Una vez en el dispositivo corporativo, el desarrollador abrió el archivo usando un entorno de codificación potenciado por IA. Oculto en su interior había código malicioso en Python que, al ejecutarse, instaló una puerta trasera disfrazada de herramienta legítima de línea de comandos de Kubernetes. Esta puerta trasera se comunicó silenciosamente con servidores controlados por los atacantes, dando a UNC4899 un punto de apoyo dentro de la red de la empresa.

Los atacantes no se detuvieron ahí. Aprovechando las sesiones autenticadas de la víctima y las credenciales recolectadas, se movieron lateralmente hacia el entorno de Google Cloud de la empresa. Combinando habilidad técnica y sigilo, realizaron reconocimiento, localizaron un bastion host y manipularon configuraciones de autenticación multifactor (MFA) para profundizar su acceso. Luego, alteraron configuraciones de despliegue en Kubernetes para asegurar acceso persistente, inyectando comandos que expusieron tokens sensibles de cuentas de servicio y escalaron privilegios.

Con acceso de alto nivel a la infraestructura crítica en la nube, UNC4899 apuntó metódicamente a pods responsables de la gestión de red y datos de clientes. Extrajeron credenciales estáticas almacenadas de forma insegura en variables de entorno, y las usaron para acceder a la base de datos de producción. Allí, realizaron restablecimientos de contraseñas y actualizaciones de MFA, apoderándose finalmente de cuentas de usuarios de alto valor y vaciando millones de carteras cripto.

Este incidente resalta vulnerabilidades sistémicas: el uso sin control de transferencias entre pares como AirDrop, una gestión insuficiente de secretos y los riesgos inherentes a contenedores cloud privilegiados. A medida que los atacantes combinan ingeniería social con explotación avanzada en la nube, las defensas perimetrales tradicionales ya no son suficientes.

Para las organizaciones, el mensaje es claro: la comodidad puede ser catastrófica. Los entornos cloud exigen validación rigurosa de identidad, fuerte aislamiento y una mentalidad de confianza cero. A medida que los ciberdelincuentes se vuelven más sofisticados, el más mínimo descuido - como un archivo enviado por AirDrop - puede desencadenar un desastre multimillonario.

WIKICROOK

  • AirDrop: AirDrop es la función inalámbrica de Apple para compartir archivos rápidamente entre iPhones, iPads y Macs cercanos usando conexiones Bluetooth y Wi-Fi.
  • Living: “Vivir de la tierra” (Living off the Land) significa que los atacantes usan herramientas confiables del sistema (LOLBins) para acciones maliciosas, haciendo que sus actividades sean sigilosas y difíciles de detectar.
  • Kubernetes: Kubernetes es un software de código abierto que automatiza el despliegue, escalado y gestión de aplicaciones, facilitando a las empresas operar sistemas de forma confiable.
  • Flujo de trabajo DevOps: Un flujo de trabajo DevOps fusiona desarrollo y operaciones, automatizando la construcción, prueba y despliegue de software para una entrega de aplicaciones más rápida, segura y confiable.
  • Token de cuenta de servicio: Un token de cuenta de servicio es una credencial digital que permite a servicios o aplicaciones automatizadas acceder de forma segura a recursos en entornos cloud o de contenedores.
North Korean hackers AirDrop vulnerability cryptocurrency theft
LOGICFALCON LOGICFALCON
Log Intelligence Investigator
← Back to news