¿Quién es Lazarus Group?

Lazarus Group (Hidden Cobra, Diamond Sleet, Zinc, Labyrinth Chollima) es el principal grupo de ciberoperaciones de Corea del Norte, adscrito al RGB (Reconnaissance General Bureau). Responsable de WannaCry (2017), el hackeo de Sony Pictures (2014), robos bancarios SWIFT (Bangladesh Bank, 81M USD), y más de 1.7 mil millones USD en robos de criptomonedas.

¿Por qué Lazarus roba criptomonedas?

Corea del Norte está bajo sanciones económicas internacionales severas. El robo de criptomonedas (exchanges, DeFi protocols, bridges) es una fuente de ingresos para el régimen, estimada en 1.7B USD en 2022 y 3B+ USD acumulados. El FBI y el Tesoro US han confirmado que los fondos financian el programa nuclear y de misiles.

¿Lazarus creó WannaCry?

Sí, la atribución está confirmada por múltiples agencias (NSA, GCHQ, FBI). WannaCry usaba el exploit EternalBlue (filtrado de NSA) combinado con un ransomware worm. Afectó a 300.000 sistemas en 150 países. Irónicamente, el mecanismo de pago era deficiente: Lazarus solo recaudó 140K USD, una fracción del daño causado.

IntermedioLazarusDPRKCorea del Nortecryptofinancierothreat actor

Lazarus Group: DPRK, Heists de Mil Millones y WannaCry

Perfil técnico de Lazarus Group (Hidden Cobra/Diamond Sleet): RGB de Corea del Norte. El grupo detrás de WannaCry, Sony Pictures, robos bancarios SWIFT, y 1.7B USD en crypto heists. Herramientas, TTPs y campañas.

MalwareIntel Research·27 de mayo de 2026·7 min lectura

Serie: APTs y Threat Actors — Parte 5

Lazarus es el grupo de Corea del Norte que financia el programa nuclear con robos cibernéticos de miles de millones

Lazarus Group es la operación cibernética más prolífica de Corea del Norte, operando bajo el RGB (Reconnaissance General Bureau). Es único entre los APTs porque su motivación principal es financiera: generar ingresos para un régimen bajo sanciones. Desde robos bancarios SWIFT hasta crypto heists de cientos de millones, Lazarus ha robado más dinero que cualquier otro grupo APT en la historia.

Ficha del grupo

Campo	Detalle
MITRE ID	G0032
Nombres	Hidden Cobra, Diamond Sleet, Zinc, Labyrinth Chollima, Guardians of Peace, APT38 (sub-grupo financiero)
Atribución	RGB (Reconnaissance General Bureau), DPRK
País	Corea del Norte
Motivación	Financiero (primario), espionaje tecnológico (secundario), destructivo (ocasional)
Activo desde	2007 (posiblemente antes)
Nivel	Tier 2: custom malware sofisticado, supply chain, pero OPSEC variable
Sectores	Crypto/DeFi, banca, defensa, aeroespacial, gaming, media
Regiones	Global (foco en EEUU, Corea del Sur, Japón, Europa)

Sub-grupos de Lazarus

Sub-grupo	MITRE ID	Foco	Operaciones clave
Lazarus (core)	G0032	Espionaje + destructivo	Sony Pictures, WannaCry
APT38 (BlueNoroff)	G0082	Robo bancario SWIFT	Bangladesh Bank, bancos mexicanos, vietnamitas
AppleJeus	—	Crypto theft	Exchanges, DeFi, supply chain crypto
TraderTraitor	—	Crypto/blockchain	Axie Infinity/Ronin Bridge (620M USD)
Andariel	G0138	Espionaje + ransomware	Sector defensa Corea del Sur, ransomware Maui

Herramientas principales

Herramienta	Tipo	Nota
FALLCHILL	RAT	Backdoor principal, múltiples variantes
HOPLIGHT	Backdoor	Proxy + backdoor, usado en campañas bancarias
BLINDINGCAN	RAT	Campañas contra defensa/aeroespacial
AppleJeus	Trojanized crypto app	Apps de trading falsas con backdoor
Manuscrypt	RAT	Usado en operaciones financieras
DTrack	Backdoor + spyware	Espionaje + keylogging + screenshot
Maui	Ransomware	Ransomware manual contra sector salud (2022)
3CX trojan	Supply chain	Supply chain attack via 3CX VoIP (2023)
Custom wipers	Wiper	Usados contra Sony Pictures y bancos

Campañas principales

Sony Pictures (2014)

Represalia por la película "The Interview" (comedia sobre asesinato de Kim Jong-un). Lazarus destruyó datos, filtró emails y películas sin estrenar, y amenazó con ataques terroristas. Impacto: 100M+ USD en daños.

Bangladesh Bank / SWIFT heists (2016)

APT38 comprometió la interfaz SWIFT del banco central de Bangladesh e intentó transferir 951M USD. 81M USD fueron exitosamente robados (transferidos a cuentas en Filipinas). Error tipográfico en una transferencia alertó al sistema. Campañas similares contra bancos en Vietnam, México, y otros países.

WannaCry (2017)

Ransomware worm que usaba EternalBlue (exploit SMB filtrado de NSA). 300.000 sistemas infectados en 150 países. NHS de UK paralizado. Solo recaudó 140K USD en Bitcoin (mecanismo de pago mal implementado), pero causó miles de millones en daños. Kill switch descubierto accidentalmente por MalwareTech.

Crypto heists (2018-2026)

Año	Target	Monto robado
2018	Coincheck (Japón)	530M USD
2020	KuCoin	275M USD
2022	Ronin Bridge (Axie Infinity)	620M USD
2022	Harmony Horizon Bridge	100M USD
2023	Atomic Wallet	100M USD
2023	Stake.com	41M USD
2024	Múltiples DeFi protocols	300M+ USD

Total estimado crypto theft: 3B+ USD (FBI, Chainalysis).

3CX Supply Chain (2023)

Lazarus comprometió la aplicación 3CX Desktop App (VoIP con 600K+ empresas clientes). La app troyanizada descargaba un segundo stage que instalaba backdoor. Cadena: 3CX → Trading Technologies (primer supply chain) → 3CX (segundo supply chain). Un supply chain attack encadenado: Lazarus comprometió un proveedor para comprometer otro proveedor.

Técnicas ATT&CK principales

Táctica	Técnica	ID	Uso
Initial Access	Supply Chain	T1195.002	3CX, AppleJeus crypto apps
Initial Access	Phishing	T1566	LinkedIn recruiting falso (job offers en defensa/crypto)
Execution	User Execution	T1204	Víctima ejecuta app trojanizada
Persistence	Boot or Logon Autostart	T1547	Registry keys, scheduled tasks
Defense Evasion	Masquerading	T1036	Apps disfrazadas de software legítimo
Defense Evasion	Code Signing	T1553.002	Certificados robados para firmar malware
Credential Access	Keylogging	T1056.001	Captura de private keys crypto
Collection	Clipboard Data	T1115	Capturar addresses de crypto wallet copiadas
Impact	Data Destruction	T1485	Wipers (Sony Pictures, bancos)
Impact	Financial Theft	T1657	Transferencias SWIFT, crypto theft

Patrón de crypto theft

1. Investigación: identificar empleados de crypto exchange en LinkedIn
2. Social engineering: oferta de trabajo falsa + documento/app con malware
3. Acceso inicial: backdoor en endpoint del empleado
4. Reconocimiento: identificar hot wallets, cold storage procedures
5. Credential theft: keylogger + clipboard monitor + screen capture
6. Exfiltración de private keys o manipulación de transacciones
7. Transferencia a wallets de Lazarus
8. Laundering: Tornado Cash, Sinbad mixer, chain hopping

Lavado de criptomonedas

Lazarus tiene una operación sofisticada de laundering:

Robo → Mixer (Tornado Cash, Sinbad, Chipmixer)
     → Chain hopping (ETH → BTC → XMR → fiat)
     → OTC brokers en China
     → Conversión a fiat via mulas
     → Financiación régimen DPRK

OFAC (US Treasury) ha sancionado a Tornado Cash y otros mixers específicamente por facilitar el lavado de Lazarus.

Detección

Indicadores clave

Social engineering:
  - Ofertas de trabajo vía LinkedIn de "recruiters" en crypto/defensa
  - PDFs y apps de evaluación técnica con malware
  - Dominios que imitan empresas de recruitment

Supply chain:
  - Apps de crypto trading de fuentes no oficiales
  - Actualizaciones de software con comportamiento anómalo post-install

Post-explotación:
  - Clipboard monitoring (focus en crypto addresses)
  - Keylogging en aplicaciones de wallet/exchange
  - Conexiones a C2 con patrones específicos de FALLCHILL/BLINDINGCAN
  - Uso de Tor para exfiltración

Prevención para sector crypto

Cold storage: private keys NUNCA en endpoints conectados
Multi-signature: requiere múltiples firmas para transacciones grandes
Security awareness: entrenar contra social engineering (fake job offers)
Application allowlisting: solo apps verificadas en endpoints con acceso a wallets
Transaction monitoring: alertar sobre transacciones inusuales
Supply chain: verificar integridad de todas las apps (hashes, firmas)

Conclusión

Lazarus es el APT con mayor impacto financiero de la historia. Su evolución de espionaje (Sony) a destrucción (WannaCry) a robo financiero (SWIFT, crypto) refleja las necesidades cambiantes del régimen norcoreano bajo sanciones. Para el sector crypto/DeFi, Lazarus es la amenaza número uno. Para defensa y aeroespacial, sus operaciones de espionaje via LinkedIn siguen siendo efectivas. El siguiente perfil cubre Turla, el grupo más sofisticado y longevo del FSB ruso.

Fuentes y referencias

MITRE ATT&CK: Lazarus Group (G0032)
FBI: "TraderTraitor" advisory (crypto theft TTPs)
Chainalysis: "North Korea Cryptocurrency Theft" reports
Mandiant: "APT38: Un-Usual Suspects" (2018)
CISA: Multiple advisories on DPRK cyber activity
US Treasury/OFAC: Sanctions on Lazarus Group and Tornado Cash