Lazarus perfecciona su táctica y roba 1.788 millones en siete meses

El grupo Lazarus ha dejado atrás los hackeos clásicos centrados en vulnerabilidades de código para adoptar una estrategia más silenciosa y devastadora, que consiste en atacar a terceros de confianza que ya están aprobados en las listas blancas de las víctimas. En lugar de romper muros, los atacantes se cuelan por la puerta principal, aprovechando la legitimidad heredada de proveedores, custodios o empleados internos.

La transparencia de la cadena de bloques, lejos de ser un obstáculo, se convierte en una ventaja para un actor estatal. Analizando patrones públicos, Lazarus puede identificar qué proveedores de custodia, qué infraestructuras de billetera o qué protocolos DeFi utiliza cada institución, y localizar el eslabón más débil.

 

La lista blanca se convierte en un mapa de objetivos

El análisis detalla cómo las whitelists, tradicionalmente consideradas una capa de seguridad robusta, se han transformado en un vector de ataque. Al comprometer a un proveedor o empleado que ya figura como seguro, los atacantes pueden ejecutar transacciones maliciosas que superan todos los controles estáticos, desde verificaciones de dirección hasta firmas múltiples.

En mitad de este escenario, Check Point Software advierte que la industria debe replantear su dependencia de controles basados únicamente en direcciones aprobadas. La compañía señala que los ataques detectados entre julio de 2024 y febrero de 2025 siguen un patrón claro, que pasa por reconocimiento en cadena, compromiso de terceros, y ejecución mediante acceso legítimo.

El análisis concluye que medidas como listas blancas, multifirma o hardware wallets siguen siendo necesarias, pero resultan insuficientes frente a un adversario capaz de manipular interfaces, proveedores y flujos de firma. La recomendación clave es simular transacciones en tiempo real, validando no solo la dirección de destino, sino el efecto exacto en el balance y la propiedad antes de firmar.