Un ciudadano lituano ha sido extraditado a Corea del Sur para enfrentarse a cargos relacionados con un esquema de robo de criptomonedas llevado a cabo utilizando malware disfrazado de software legítimo. Las autoridades surcoreanas dijeron que el sospechoso distribuyó código malicioso a través de versiones alteradas de KMSAuto, una herramienta comúnmente utilizada para activar Microsoft Windows sin licencia.
Según los investigadores, el malware estaba incrustado en las descargas de KMSAuto y se difundió a ordenadores de varios países durante varios años. Los archivos infectados se compartieron en línea y se descargaron millones de veces, lo que permitió que el malware llegara a una amplia variedad de víctimas, incluidos usuarios en Corea del Sur.
Una vez instalado, el malware monitorizaba la actividad de la carpeta en los sistemas infectados. Cuando un usuario copiaba una dirección de monedero de criptomonedas para hacer una transferencia, el malware la reemplazaba por una dirección controlada por el atacante. Esto hacía que los fondos se enviaran al atacante en lugar del destinatario previsto, sin signos evidentes de interferencia durante el proceso de transacción.
La policía surcoreana dijo que la operación resultó en miles de direcciones de monedero comprometidas y cientos de transacciones interceptadas. El valor total de la criptomoneda robada se estimó en unos 1.700 millones de won. Las autoridades informaron que varias víctimas surcoreanas reportaron pérdidas, lo que motivó la investigación inicial.
El caso comenzó en 2020 después de que un usuario de criptomonedas informara que los fondos habían sido desviados a una cartera desconocida. Los investigadores rastrearon la transacción e identificaron la técnica de reemplazo del portapapeles, vinculando finalmente la actividad con versiones maliciosas del software KMSAuto.
Las agencias de seguridad de varios países cooperaron durante la investigación. Las autoridades surcoreanas emitieron una solicitud internacional de detención, y el sospechoso fue posteriormente detenido en Georgia mientras intentaba entrar en el país. La policía lituana ayudó a registrar la residencia del sospechoso y a incautar dispositivos electrónicos que se cree están relacionados con el caso.
Tras procedimientos legales, las autoridades georgianas aprobaron la extradición a Corea del Sur, donde el sospechoso ahora enfrenta un proceso bajo leyes que cubren ciberdelitos y robo virtual de activos. La policía surcoreana afirmó que el caso destacó la importancia de la cooperación internacional para abordar los crímenes que cruzan fronteras nacionales.
Las autoridades dijeron que el incidente demostró los riesgos asociados a la descarga de software no oficial de fuentes no verificadas. Al disfrazar el malware como una herramienta de activación común, el atacante pudo explotar la confianza del usuario e interceptar transacciones financieras con visibilidad limitada.
Los investigadores surcoreanos aconsejaron a los usuarios de criptomonedas que verifiquen cuidadosamente las direcciones de las carteras antes de completar las transferencias y que eviten instalar software desde canales de distribución no oficiales. Afirmaron que el caso subrayaba cómo el malware dirigido al comportamiento cotidiano de los usuarios puede provocar pérdidas financieras sin explotar vulnerabilidades en las propias redes de criptomonedas.