Las autoridades surcoreanas han extraditado con éxito a un nacional chino sospechoso de orquestar una de las operaciones de piratería más sofisticadas dirigidas a individuos e instituciones financieras de alto perfil.
El sospechoso de 34 años, identificado solo como el Sr. G, fue repatriado de Bangkok, Tailandia, el 22 de agosto de 2025, luego de una cacería internacional de cuatro meses que resultó en su arresto por supuestamente robar más de 38 mil millones de ganancias (aproximadamente $ 28.5 millones) de las cuentas de activos financieros y virtuales de las víctimas.
La organización criminal, que opera desde oficinas en el extranjero principalmente en Tailandia, ejecutó una compleja campaña de ataque de vectores múltiples que abarca desde agosto de 2023 hasta enero de 2024.
La metodología principal del grupo implicó infiltrarse en sitios web de operadores móviles y otras plataformas web para cosechar información personal de personas ricas, celebridades, ejecutivos corporativos y representantes de empresas de riesgo.
Usando estos datos robados, los piratas informáticos obtuvieron acceso no autorizado a las cuentas bancarias de las víctimas y las billeteras de criptomonedas, transfiriendo sistemáticamente activos sin detección durante meses.
Las investigaciones iniciales revelaron que el malware empleaba técnicas sofisticadas de ingeniería social combinadas con la explotación técnica de las vulnerabilidades de las aplicaciones web.
MOJ.GO.KR Analistas identificado El patrón de ataque como un esfuerzo coordinado que utiliza tanto las herramientas automatizadas como la intervención manual para maximizar la extracción financiera al tiempo que evita los sistemas tradicionales de monitoreo de seguridad.
El hacker fue arrestado (fuente – moj.go.kr)
La sofisticación técnica de la operación se hizo evidente a través de su mecanismo de infección en varias etapas, que se basó en gran medida en explotar vulnerabilidades en los sistemas de autenticación de portadores móviles.
Inicialmente, el malware ingresó a través de portales web comprometidos, donde los atacantes inyectaron scripts maliciosos diseñados para cosechar credenciales de usuarios y tokens de sesión.
Una vez dentro del perímetro de la red, el código malicioso estableció las puertas traseras persistentes utilizando canales de comunicación cifrados para mantener el acceso a largo plazo.
Las tácticas de persistencia empleadas por este actor de amenaza demostraron un conocimiento avanzado de la administración del sistema y los protocolos de seguridad de la red.
El malware utilizó una combinación de modificaciones de registro y creación de tareas programadas para garantizar la operación continua en los reiniciados del sistema.
El análisis del código reveló el uso de scripts de PowerShell ofvesados que se ejecutaron a intervalos regulares, verificando la conectividad de la red y la actualización de las direcciones del servidor de comandos y controles dinámicamente.
$ encoded = (system.convert) :: fromBase64String ($ data) $ decoded = (system.text.encoding) :: utf8.getString ($ encoded) Invoke-Expression $ decoded
Los mecanismos de evasión de detección incluyeron la implementación de técnicas anti-análisis, como la verificación del medio ambiente, la detección de sandbox y el embalaje de tiempo de ejecución.
El malware modificó consistentemente sus firmas de archivo y empleó técnicas de vida en la tierra, utilizando herramientas legítimas del sistema como PowerShell e Instrumentación de administración de Windows para ejecutar actividades maliciosas mientras aparecen como procesos del sistema normales.
La extradición exitosa representa una victoria significativa para la cooperación internacional del delito cibernético, con las autoridades coreanas que trabajan estrechamente con funcionarios tailandeses, Interpol y la Red de Cooperación del Sudeste Asiático para rastrear y detener al sospechoso dentro de los cuatro meses de su entrada a Tailandia.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
