El actor de amenazas norcoreano conocido como UNC4899 se sospecha que está detrás de una sofisticada campaña de compromiso con la nube dirigida a una organización de criptomonedas en 2025 para robar millones de dólares en criptomonedas.
La actividad se ha atribuido con una confianza moderada al adversario patrocinado por el estado, que también es rastreado bajo los criptónimos Jade Sleet, PUKCHONG, Slow Pisces y TraderTraitor.
«Este incidente destaca por su combinación de ingeniería social, explotación de mecanismos de transferencia de datos punto a punto (P2P) entre dispositivos personales a corporativos, flujos de trabajo y, finalmente, el paso a la nube para emplear técnicas de vida fuera de la nube (LOTC)», señaló el gigante tecnológico en su Informe sobre los horizontes de amenazas en la nube del primer semestre de 2026 [PDF] compartido con The Hacker News.
Al acceder al entorno de nube, se dice que los atacantes abusaron de los flujos de trabajo legítimos de DevOps para recopilar credenciales, salir de los límites de los contenedores y manipular las bases de datos de Cloud SQL para facilitar el robo de criptomonedas.
adsenseLa cadena de ataques, según Google Cloud, representa una progresión de lo que comenzó con la puesta en peligro del dispositivo personal de un desarrollador en su estación de trabajo corporativa, antes de pasar a la nube para realizar modificaciones no autorizadas en la lógica financiera.
Todo comenzó cuando los actores de amenazas utilizaron tácticas de ingeniería social para engañar al desarrollador para que descargara un archivo de almacenamiento como parte de una supuesta colaboración en un proyecto de código abierto. A continuación, el desarrollador transfirió el mismo archivo al dispositivo de su empresa a través de AirDrop.
«Al utilizar su entorno de desarrollo integrado (IDE) asistido por IA, la víctima interactuó con el contenido del archivo y, finalmente, ejecutó el código Python malicioso incrustado, que generó y ejecutó un binario que se hizo pasar por la herramienta de línea de comandos de Kubernetes», afirma Google.
A continuación, el binario contactó con un dominio controlado por el atacante y actuó como puerta trasera para la máquina corporativa de la víctima, lo que permitió a los atacantes pasar al entorno de Google Cloud utilizando probablemente sesiones autenticadas y las credenciales disponibles. A este paso le siguió una fase inicial de reconocimiento destinada a recopilar información sobre varios servicios y proyectos.
El ataque pasó a la siguiente fase con el descubrimiento de un anfitrión del bastión , y el adversario modifica su atributo de política de autenticación multifactor (MFA) para acceder a él y realizar reconocimientos adicionales, incluida la navegación a pods específicos dentro del entorno de Kubernetes.
Posteriormente, la UNC4899 adoptó un enfoque de vivir fuera de la nube (LoTC) para configurar los mecanismos de persistencia modificando las configuraciones de despliegue de Kubernetes para ejecutar un comando bash automáticamente cuando se crearan nuevos pods. El comando, por su parte, descargaba una puerta trasera.
Algunas de las otras medidas llevadas a cabo por el actor de la amenaza se enumeran a continuación -
- Los recursos de Kubernetes vinculados a la solución de plataforma de CI/CD de la víctima se modificaron para insertar comandos que mostraban los tokens de la cuenta de servicio en los registros.
- El atacante obtuvo un token para una cuenta de servicio de CI/CD con altos privilegios, lo que le permitió aumentar sus privilegios y realizar movimientos laterales, apuntando específicamente a un pod que gestionaba las políticas de red y el equilibrio de carga.
- El token de la cuenta de servicio robada se usó para autenticarse en el módulo de infraestructura confidencial que se ejecutaba en modo privilegiado, escapar del contenedor e implementar una puerta trasera para un acceso persistente.
- El actor de la amenaza llevó a cabo otra ronda de reconocimiento antes de centrar su atención en la carga de trabajo responsable de gestionar la información de los clientes, como las identidades de los usuarios, la seguridad de las cuentas y la información de las carteras de criptomonedas.
- El atacante lo usó para extraer credenciales de bases de datos estáticas que estaban almacenadas de forma insegura en las variables de entorno del pod.
- Luego, se abusó de las credenciales para acceder a la base de datos de producción a través del proxy de autenticación de Cloud SQL y ejecutar comandos SQL para realizar modificaciones en la cuenta de usuario. Esto incluía el restablecimiento de contraseñas y la actualización de las semillas de MFA para varias cuentas de gran valor.
- El ataque culminó con el uso de las cuentas comprometidas para retirar con éxito varios millones de dólares en activos digitales.
El incidente «pone de relieve los riesgos críticos que representan los métodos de transferencia de datos P2P de persona a empresa y otros puentes de datos, los modos de contenedores privilegiados y el manejo inseguro de secretos en un entorno de nube», dijo Google. «Las organizaciones deben adoptar una estrategia de defensa exhaustiva que valide rigurosamente la identidad, restrinja la transferencia de datos a los terminales e imponga un aislamiento estricto en los entornos de ejecución de la nube para limitar el radio de alcance de un evento de intrusión».
Para hacer frente a la amenaza, se recomienda a las organizaciones que implementen un acceso sensible al contexto y una MFA resistente a la suplantación de identidad, garanticen que solo se desplieguen imágenes confiables, aíslen los nodos comprometidos para que no establezcan conectividad con hosts externos, supervisen los procesos inesperados de los contenedores, adopten una sólida administración de secretos, apliquen políticas para deshabilitar o restringir el intercambio de archivos entre pares mediante AirDrop o Bluetooth y monten medios externos no administrados en los dispositivos corporativos.
Fuentes de Información: THEHACKERNEWS