Bitrefill Revela Ciberataque, Señala al Grupo Lazarus de Corea del Norte

La plataforma de comercio electrónico de criptomonedas Bitrefill informó que fue víctima de un ciberataque a principios de este mes que resultó en fondos robados y una exposición limitada de datos de clientes, con indicios que apuntan al Grupo Lazarus, vinculado a Corea del Norte, como probable perpetrador.

La brecha, que comenzó el 1 de marzo, se originó a partir de una laptop de empleado comprometida, según el informe de incidentes de la compañía.

Los atacantes lograron extraer credenciales heredadas vinculadas a los sistemas de producción, lo que les permitió escalar el acceso en toda la infraestructura de Bitrefill, incluyendo segmentos de su base de datos interna y ciertas billeteras calientes de criptomonedas.

Bitrefill afirmó que los atacantes drenaron una cantidad no revelada de fondos de sus billeteras calientes y también explotaron sus sistemas de inventario de tarjetas de regalo para realizar compras sospechosas con proveedores. La compañía no especificó el impacto financiero total, pero declaró que absorberá las pérdidas con capital operativo.

La intrusión fue detectada inicialmente por patrones de compra irregulares y anomalías en la actividad de los proveedores.

En respuesta, Bitrefill desconectó temporalmente sus sistemas para contener la brecha en sus operaciones globales. La compañía dijo que los servicios, incluyendo pagos y acceso a cuentas, han vuelto a niveles normales.

Como parte del ataque, se accedieron a aproximadamente 18,500 registros de compras. Los datos expuestos incluyen direcciones de correo electrónico, direcciones de pago en criptomonedas y metadatos como direcciones IP.

Alrededor de 1,000 de esos registros contenían nombres de clientes encriptados, que están siendo considerados como potencialmente expuestos debido a la posibilidad de que los atacantes hayan accedido a las claves de encriptación. Bitrefill informó que ha notificado directamente a los usuarios afectados.

A pesar de la brecha, la compañía enfatizó que almacena datos personales mínimos y que no requiere verificación obligatoria de identidad para la mayoría de las transacciones. La información relacionada con KYC es manejada por proveedores externos y no se almacena en los sistemas de Bitrefill. La firma agregó que no hay evidencia de que toda su base de datos haya sido exfiltrada ni de que los datos de los clientes hayan sido el objetivo principal.

“Basándonos en nuestra investigación y registros, no tenemos motivos para pensar que los datos de los clientes fueron el objetivo”, dijo la compañía, señalando que los atacantes parecían realizar consultas limitadas, consistentes con una exploración en busca de activos valiosos como tenencias de criptomonedas y inventario de tarjetas de regalo.

Grupo Lazarus de Corea del Norte involucrado

Bitrefill citó varios indicadores que vinculan el ataque con el Grupo Lazarus, incluyendo similitudes en malware, infraestructura reutilizada como direcciones IP y cuentas de correo electrónico, y patrones de transacciones en la cadena de bloques.

El grupo, a menudo asociado con Corea del Norte, ha sido vinculado a algunos de los mayores robos de criptomonedas en los últimos años a través de su subgrupo especializado, Bluenoroff.

Firmas de ciberseguridad como zeroShadow, SEAL911 y RecoverisTeam ayudaron en la respuesta e investigación, junto con analistas en la cadena de bloques y las fuerzas del orden. La compañía dijo que está implementando medidas de seguridad adicionales, incluyendo sistemas de monitoreo ampliados y controles internos, para prevenir incidentes similares.

El ataque pone de manifiesto las preocupaciones continuas sobre las amenazas cibernéticas patrocinadas por estados en el sector de activos digitales.

Según la firma de análisis de blockchain Chainalysis, grupos vinculados a Corea del Norte fueron responsables de más de 2 mil millones de dólares en robos de criptomonedas en 2025, representando una parte significativa de la actividad ilícita total en el espacio.

Bitrefill afirmó que las operaciones se han estabilizado tras el incidente y expresó confianza en su recuperación, señalando que la actividad de los clientes y los volúmenes de ventas han vuelto a niveles típicos.