El actor de amenazas norcoreano conocido como UNC4899 es sospechoso de estar detrás de una sofisticada campaña de compromiso en la nube dirigida a una organización de criptomonedas en 2025, con el objetivo de robar millones de dólares en criptoactivos. La actividad se atribuye con moderada confianza a este adversario patrocinado por el Estado, también rastreado bajo los criptónimos Jade Sleet, PUKCHONG, Slow Pisces y TraderTraitor.
"Este incidente es notable por su combinación de ingeniería social, explotación de mecanismos de transferencia peer-to-peer (P2P) entre dispositivos personales y corporativos, flujos de trabajo y eventual salto a la nube para emplear técnicas living-off-the-cloud (LOTC)", señaló el gigante tecnológico en su informe Cloud Threat Horizons del primer semestre de 2026, compartido con The Hacker News.
Una vez obtenido acceso al entorno cloud, los atacantes presuntamente abusaron de flujos de trabajo legítimos de DevOps para robar credenciales, escapar de los confines de los contenedores y manipular bases de datos Cloud SQL para facilitar el robo de criptomonedas.
La cadena de ataque, según Google Cloud, representa una progresión que comenzó con el compromiso del dispositivo personal de un desarrollador, pasó a su estación de trabajo corporativa y luego saltó a la nube para realizar modificaciones no autorizadas en la lógica financiera.
Todo comenzó cuando los actores de amenazas utilizaron tácticas de ingeniería social para engañar al desarrollador y lograr que descargara un archivo comprimido como parte de una supuesta colaboración en un proyecto de código abierto. Luego, el desarrollador transfirió el mismo archivo a su dispositivo corporativo a través de AirDrop.
"Usando su Entorno de Desarrollo Integrado (IDE) asistido por IA, la víctima interactuó con el contenido del archivo, ejecutando eventualmente el código malicioso de Python incrustado, que generó y ejecutó un binario que se hacía pasar por la herramienta de línea de comandos de Kubernetes", dijo Google. El binario contactó entonces con un dominio controlado por los atacantes y actuó como puerta trasera hacia la máquina corporativa de la víctima, dando a los atacantes una vía para saltar al entorno de Google Cloud, probablemente usando sesiones autenticadas y credenciales disponibles.
A esto le siguió una fase inicial de reconocimiento destinada a recopilar información sobre varios servicios y proyectos. El ataque pasó a la siguiente fase con el descubrimiento de un bastion host, donde el adversario modificó su atributo de política de autenticación multifactor (MFA) para acceder a él y realizar reconocimiento adicional, incluyendo la navegación hacia pods específicos dentro del entorno de Kubernetes.
Posteriormente, UNC4899 adoptó un enfoque living-off-the-cloud (LotC) para configurar mecanismos de persistencia alterando las configuraciones de despliegue de Kubernetes para ejecutar automáticamente un comando bash cuando se crearan nuevos pods. El comando, a su vez, descargaba una puerta trasera.
Pasos adicionales del ataque
- - Recursos de Kubernetes vinculados a la solución CI/CD de la víctima fueron modificados para inyectar comandos que mostraban los tokens de cuenta de servicio en los registros.
- - El atacante obtuvo un token para una cuenta de servicio CI/CD con altos privilegios, lo que le permitió escalar privilegios y moverse lateralmente, dirigiéndose específicamente a un pod que manejaba políticas de red y balanceo de carga.
- - El token de cuenta de servicio robado se usó para autenticarse en un pod de infraestructura sensible que operaba en modo privilegiado, escapar del contenedor y desplegar una puerta trasera para acceso persistente.
- - Se realizó otra ronda de reconocimiento antes de centrar la atención en una carga de trabajo responsable de gestionar información de clientes, como identidades de usuario, seguridad de cuentas e información de carteras de criptomonedas.
- - El atacante la utilizó para extraer credenciales de bases de datos estáticas almacenadas de forma insegura en las variables de entorno del pod.
- - Las credenciales se usaron para acceder a la base de datos de producción a través de Cloud SQL Auth Proxy y ejecutar comandos SQL para modificar cuentas de usuario, incluyendo restablecimientos de contraseñas y actualizaciones de semillas MFA para varias cuentas de alto valor.
- - El ataque culminó con el uso de las cuentas comprometidas para retirar con éxito varios millones de dólares en activos digitales.
Google señaló que el incidente "resalta los riesgos críticos que presentan los métodos de transferencia de datos P2P de personal a corporativo y otros puentes de datos, los modos de contenedor privilegiados y el manejo inseguro de secretos en un entorno cloud. Las organizaciones deben adoptar una estrategia de defensa en profundidad que valide rigurosamente la identidad, restrinja la transferencia de datos en los endpoints y aplique un aislamiento estricto dentro de los entornos de ejecución cloud para limitar el radio de explosión de un evento de intrusión".
Para contrarrestar la amenaza, se recomienda a las organizaciones implementar MFA consciente del contexto y resistente a phishing, asegurarse de que solo se desplieguen imágenes de confianza, aislar los nodos comprometidos para evitar conectividad con hosts externos, monitorear procesos de contenedores inesperados, adoptar una gestión robusta de secretos y aplicar políticas para deshabilitar o restringir el intercambio de archivos peer-to-peer mediante AirDrop o Bluetooth, así como la conexión de medios externos no gestionados en dispositivos corporativos.
