Cae Cryptomixer, la plataforma que lavó más de 1.300 millones de euros desde 2016
Además: Campaña de Lazarus para infiltrar empleados en Occidente, un malware transforma extensiones en spyware y Evilginx bypassea segundo factor de autenticación.
Dark News es un resumen semanal de noticias de ciberseguridad, privacidad y hacking. Los temas están producidos y seleccionados por Juan Brodersen según estos criterios de edición.
🌅 Dark News entra en un receso de temas de actualidad y vuelve el viernes 19 de diciembre28 nov>
5 dic
⚡TL;DR
Esta semana hubo una disrupción de una herramienta muy usada por cibercriminales para lavar dinero: Cryptomixer. También hubo, durante la semana, un hackeo a uno de los protocolos más conocidos del ecosistema DeFi, Yearn Finance. (No, no es un newsletter principalmente cripto, pero por agenda y contexto, las últimas entregas tuvieron más material de este mundo que de costumbre).
El segundo tema de esta entrega tiene que ver con la investigación de un equipo latinoamericano, Quetzal, que mostró en una demostración pública en ANY.RUN cómo operadores de Lazarus (Norcorea) trabajan para infiltrarse en compañías occidentales.
Además, encontré algunas campañas activas interesantes, una para robarse la cookie de logueo para bypassear el segundo factor de autenticación y otra para infectar extensiones del navegador con spyware.
Y el ciberfraude se recrudece en Brasil. Como me dijo una fuente alguna vez, “todo lo que pasa en Brasil luego se mueve al resto de América Latina”, en cuanto a malware bancario.
Entre las lecturas interesantes que crucé, The Guardian publicó un titular sobre un tema complejo: “El surgimiento del porno deepfake en las escuelas”.
Y encontré un reporte que habla del “hype” del malware hecho con IA, que contrasta la realidad con datos: si bien se usan modelos de LLM para programar malware, es relativo que sea uno de los problemas más grandes de la industria en la actualidad.
📅 Agenda de diciembre
Voy a hacer un break de actualidad. El próximo viernes no hay edición.
El domingo 14 reproduzco la entrevista a Vitalik Buterin que hice en Clarín.
El 19 vuelve la programación habitual.
El 26 publico, como ya es costumbre, el repaso del año.
En esta edición:
🪙 Cae Cryptomixer, la plataforma que lavó más de 1.300 millones de euros desde 2016
💻 Famous Chollima: así infiltra Norcorea empresas usando ingenieros como pantalla
🐼 ShadyPanda, una campaña que transforma extensiones legítimas en spyware
💰 Hackean a Yearn Finance de Ethereum
😈 Evilginx: campaña para bypassear MFA
📲 Doble campaña de fraude en Brasil: un worm de WhatsApp y un malware, RelayNFC
⏰ Substack dice que leer este correo completo lleva 12 minutos
Dark News #179
Espacio publicitario
Atomiq Vision integra gestión de superficie de ataque, escaneo de vulnerabilidades y alertas. Está pensado tanto para analistas como para quienes toman decisiones en el alto nivel de una organización o un país. Más información, clic en este enlace.
Cae Cryptomixer, la plataforma que lavó más de 1.300 millones de euros desde 2016
Autoridades de Suiza y Alemania desmantelaron Cryptomixer, un servicio para mixear criptomonedas que habría ayudado a lavar más de 1.300 millones de euros en Bitcoin desde 2016. El operativo, llamado “Operation Olympia”, se llevó a cabo entre el 24 y el 28 de noviembre en Zúrich.
Cómo fue. Europol y Eurojust apoyaron la acción: se incautaron tres servidores, más de 12 TB de datos y los dominios en la clearnet y en Tor, además de 24 millones de euros en Bitcoin. Según Europol, Cryptomixer operaba como un servicio híbrido accesible tanto desde la web como desde la dark web, ocultando el rastro de fondos para grupos de ransomware, foros ilegales y mercados clandestinos.
El contexto. Los mixers o tumblers agrupan cripto de múltiples usuarios en un pool común y redistribuyen los fondos en nuevas direcciones, dificultando el rastreo. Aunque pueden tener usos legítimos, se usan sobre todo para evadir identificación antes de convertir activos robados en fiat o en otras criptomonedas.
Por qué importa. La caída de Cryptomixer se suma a una serie de acciones globales contra este tipo de servicios: en marzo de 2023, la alemana BKA y el FBI derribaron ChipMixer; este año, EE.UU. encarceló a los fundadores de Samourai Wallet; y los fiscales norteamericanos imputaron a operadores de Blender y Sinbad, usados por grupos de ransomware y hackers norcoreanos.
Qué significa. Los reguladores están ampliando la presión sobre infraestructura clave del lavado cripto. Para los grupos criminales, cada mixer que cae reduce opciones y aumenta el costo de mover fondos.
Para la industria, marca otro paso hacia un ecosistema más vigilado —y menos anónimo— en la circulación de activos digitales.
Famous Chollima: así infiltra Norcorea empresas usando ingenieros como pantalla
Investigadores de seguridad expusieron una operación de reclutamiento del grupo norcoreano Famous Chollima (Lazarus) para alquilar identidades de desarrolladores y así infiltrar empresas occidentales.
La campaña usa ingeniería social, deepfakes y “frontmen” reales para sortear entrevistas y acceder a trabajos remotos en compañías Fortune 500.
Cómo funciona. Los operadores ofrecen entre 20% y 35% del salario a ingenieros dispuestos a ser “la cara” del agente norcoreano: usar su nombre, dar entrevistas, incluso prestar su computadora para que el trabajador del DPRK opere oculto detrás de una IP y un perfil legítimo.
Para “sólo usar” datos personales y la laptop, la comisión baja al 10%. A cambio, piden datos completos: nombre, dirección, visa, Social Security Number y acceso 24/7 vía AnyDesk.
Por qué importa. El ingeniero comprometido asume todo el riesgo: su identidad queda asociada a cualquier actividad maliciosa. Según el especialista argentino Mauro Eldritch (BCA LTD), es él y no el agente norcoreano quien responderá por cualquier daño.
Usan a la víctima como proxy, tanto para evadir sanciones como para cometer fraude o infiltración corporativa sin exponer infraestructura del régimen.
El contexto. Famous Chollima (nombre de Crowdstrike) lleva años infiltrando empresas para espionaje y recaudación de fondos para el Estado norcoreano. En GitHub detectaron cuentas que publicaban spam reclutando “candidatos” que no necesitaban saber programar: los agentes los “asistirían” durante entrevistas técnicas en .NET, Java, Python, Ruby, Golang o Blockchain. El salario prometido: 3.000 dólares mensuales.
Qué significa. La operación exhibe el nivel de profesionalización y volumen del mercado negro de identidades para trabajadores remotos, un vector perfecto para infiltración corporativa sin malware y sin exploits: solo con credenciales, videollamadas y deepfakes. Para las empresas, esto implica un riesgo más difícil de detectar que un ataque tradicional.
ShadyPanda, una campaña que transforma extensiones legítimas en spyware
Investigadores de Koi descubrieron una campaña llamada ShadyPanda que, durante siete años, transformó extensiones legítimas en spyware, acumulando más de 4,3 millones de instalaciones en Chrome y Edge.
Cómo empezó. En 2023 aparecieron decenas de extensiones disfrazadas de wallpapers y utilidades que hacían fraude de afiliados: inyectaban códigos en visitas a Amazon, Booking o eBay para generar comisiones.
Cómo escaló. A inicios de 2024 el foco cambió: cada búsqueda se redirigía vía trovi.com, se registraban queries, se exfiltraban cookies y se manipulaban resultados para monetizar.
El quiebre. A mediados de 2024, cinco extensiones —incluida Clean Master, destacada por Google— empujaron una actualización silenciosa con backdoor: ejecutaban JavaScript remoto cada hora, monitoreaban todas las visitas y enviaban historial cifrado y fingerprints a servidores de ShadyPanda.
La última fase. Otro set de cinco extensiones en Edge, con WeTab a la cabeza (tres millones de instalaciones), sumó vigilancia: URLs, búsquedas, clics, cookies y comportamiento de navegación. Algunas siguen disponibles.
Por qué importa. La campaña explotó el mismo hueco durante años: el pipeline de actualizaciones de confianza. Sin phishing ni engaños: solo extensiones aprobadas que, con un bump de versión, pasaron de productividad a espionaje.
Hackean a Yearn Finance de Ethereum
El protocolo DeFi Yearn Finance, uno de los proyectos veteranos del ecosistema Ethereum, fue explotado para robar cerca de 9 millones de dólares tras la manipulación de su pool yETH de stableswap. El atacante logró acuñar una cantidad infinita de tokens de recibo y retiró liquidez real en una sola operación.
Cómo funcionó. Según los datos on-chain, el atacante explotó una versión personalizada del contrato de stableswap para generar yETH sin respaldo. Estos tokens representan participación dentro del pool, por lo que la “acuñación” indebida le dio activos de propiedad que no había depositado. Con esos yETH falsos, retiró activos genuinos del pool de Yearn y del par yETH-WETH en Curve.
El impacto. Yearn confirmó pérdidas preliminares por 8 millones de dólares en su pool principal y 900 mil dólares adicionales en Curve. La caída de confianza golpeó también al token YFI, que retrocedió más del 5% tras el incidente. El precio de yETH, directamente afectado por la extracción, se desplomó casi de inmediato.
Evilginx: campaña para bypassear MFA
Atacantes están usando Evilginx, una herramienta de Adversary-in-the-middle para robar cookies de sesión y entrar sin necesidad de un token de autenticación multifactor (MFA).
El contexto. Evilginx dificulta al máximo la detección: genera URLs que expiran en 24 horas, oculta servidores detrás de Cloudflare y replica en tiempo real el flujo de login legítimo.
Qué encontraron. El equipo de investigación de Infoblox identificó 67 dominios conectados a los ataques y al menos 18 universidades afectadas, entre ellas UC Santa Cruz, UC Santa Barbara, University of San Diego, VCU y University of Michigan.
Los subdominios imitaban etiquetas reales como shibboleth para hacer creíbles los portales SSO. El análisis histórico de DNS también reveló cómo el actor migró de servidores dedicados a infraestructura cubierta por Cloudflare.
Por qué importa. Las versiones más recientes de Evilginx suman certificados wildcard, fingerprinting avanzado y JavaScript ofuscado, complicando aún más su detección. El caso demuestra que, frente a kits AITM que sortean MFA con facilidad, el análisis DNS sigue siendo una herramienta clave para descubrir infraestructura maliciosa y anticipar campañas antes de que comprometan datos académicos y cuentas institucionales.
Los indicadores de actividad se pueden ver en este enlace.
Doble campaña de fraude en Brasil: un worm de WhatsApp y un malware, RelayNFC
Brasil enfrenta una doble campaña de ciberfraude: por un lado, un gusano que se propaga vía WhatsApp para instalar un troyano bancario ligado al actor Water Saci; por otro, un nuevo malware Android llamado RelayNFC que habilita fraudes en pagos contactless mediante relay NFC en tiempo real.
La campaña en WhatsApp. Water Saci renovó su cadena de infección y ahora usa archivos PDF y HTA, un instalador MSI y un script en Python, posiblemente generado con IA, para propagarse a través de WhatsApp Web.
Qué hace. El troyano ejecuta captura de teclado, grabación de pantalla, cambios de resolución, movimientos de mouse, operaciones de archivos, carga/descarga de datos y overlays falsos para robar credenciales y transacciones. También evita entornos virtuales, recolecta información vía WMI e interactúa con su C2 para control remoto.
El segundo frente: RelayNFC. En paralelo, usuarios brasileños son blanco de un nuevo malware Android, RelayNFC, que implementa un relay APDU en tiempo real para simular que la tarjeta física esté presente. Llega por phishing en sitios en portugués que se disfrazan de servicios de “seguridad de tarjeta”.
Cómo opera. El malware pide al usuario apoyar la tarjeta en el teléfono, lee los datos y solicita el PIN. Luego reenvía APDUs a un dispositivo de los atacantes vía WebSockets, permitiendo transacciones EMV remotas. Cyble detectó también tests con una APK que incluye partes de Host Card Emulation (HCE), lo que indica que los operadores experimentan con métodos alternativos para relay.
El impacto. WhatsApp como vector de un worm más relay NFC en Android muestran una evolución acelerada del fraude financiero en Brasil: alta ingeniería social, automatización de propagación y uso de canales legítimos como plataformas de distribución. La región vuelve a posicionarse como laboratorio para nuevos modelos de malware bancario.
🔓 Breaches y hacks
La Federación Francesa de Fútbol dice que hackers accedieron a un panel de software usado por los clubes
La Universidad de Pensilvania confirma un data breach luego del hackeo a Oracle
El breach de Mixpanel impactó en Lemon Cash
🔒 Ransomware
Everest asegura que tiene datos de Asus
Ransomware afecta el oeste de la ciudad de Londres
La farmacéutica Inotiv sufre un ransomware
💣 Exploits y malware
Análisis técnico de Matanbuchus 3.0
Albiriox, nuevo malware bancario que da acceso remoto a atacantes
Explotan la VPN Array AG Series
🔍 Threat intel y vulnerabilidades
Salty2FA, nueva campaña de phishing contra empresas
Reportan un “syntax hacking” sobre modelos como el de ChatGPT
Reportes: Kaspersky, Intel741, Check Point Research.
🛠️ Tools y updates
Android parchea dos zero-day
Actualización de seguridad de Kubernetes
📋 Privacidad y regulaciones
Multan a Vanity Fair por usar cookies sin pedir permiso
El parlamento europeo impulsa una ley para prohibir las redes sociales a menores de 16
India demanda a apps de chat como WhatsApp que funcionen con SIM card sin excepciones para combatir el fraude
Este newsletter fue escrito por un humano. Se usó inteligencia artificial para detectar errores de redacción, concordancia y typos. Aún así, puede contener errores.
Para cualquier comentario, corrección o sugerencia, podés responder este mail. Si tenés información sobre un hackeo, me podés contactar por acá o por mis redes.
Si te sirvió, compartilo: tu recomendación orgánica es mucho más valiosa que cualquier campaña publicitaria.
