Grupo Lazarus: los hackers norcoreanos que aterran al mundo – historia, ataques y claves de su ciberpoder
Joel Basanta
El grupo Lazarus vuelve a estar de máxima actualidad tras el vídeo viral de Lord Draugr, pero también por protagonizar en 2025 el mayor robo cibernético de la historia: 1.500 millones de dólares en criptomonedas sustraídos a la plataforma Bybit. Considerado el grupo de hackers más peligroso, sofisticado y rentable del planeta, Lazarus acumula una trayectoria de ataques que van desde el ransomware planetario a la financiación encubierta del régimen de Corea del Norte. Descubre aquí todo lo que buscan los usuarios: historia, modus operandi, ataques más sonados, cifras récord y claves para defenderte.
¿Qué es el grupo Lazarus y por qué es temido en todo el mundo?
Lazarus es un conjunto de unidades de hackers norcoreanos, formadas, financiadas y controladas por el régimen de Kim Jong-un.
Según reportan BBC y medios internacionales, su objetivo principal es generar fondos para el Estado norcoreano, potenciar sus programas estratégicos y eludir sanciones internacionales recurriendo al cibercrimen global.
En 2025, han batido todos los récords: el asalto a Bybit es ahora el mayor robo de criptodivisas de la historia, reforzando a Norcorea como uno de los principales poseedores de bitcoin en el mundo.
Evolución, especialización y “modus operandi”
Lazarus ha pasado de lanzar ciberataques destructivos con malware masivo (MyDoom, WannaCry) a sofisticar campañas de ransomware, ataques a la cadena de suministro y, sobre todo, robos especializados en el sector cripto y financiero.
Utilizan malware modular (MagicRAT, QuiteRAT), vulnerabilidades “zero-day”, spear-phishing altamente dirigido y ataques de watering hole para comprometer sistemas antes de que existan parches de seguridad.
Una de sus tácticas más notables es infiltrarse en plataformas o empresas a través de ingeniería social a empleados clave, como sucedió en Axie Infinity, Bybit y otros hacks recientes de grandes exchanges y DeFi.
Ataques más notorios y cifras récord
Bybit (2025): 1.500 millones de dólares robados en Ethereum, perpetrando el mayor ciberatraco cripto de la historia.
Axie Infinity/Ronin Network (2022): Más de 600 millones de dólares en un solo asalto, a través del control de nodos validadores.
Coincheck (2018): 534 millones robados de uno de los mayores exchanges japoneses.
WannaCry (2017): El ransomware que paralizó sistemas sanitarios y empresas en medio mundo.
Banco de Bangladesh (2016): 81 millones de dólares en errores tipográficos, pero casi 1000 millones en juego.
Ataques a Sony Pictures, ataques a Corea del Sur y campañas globales de malware.
Especialmente en 2024-2025, han iniciado campañas de ataque a la cadena de suministro y software legítimo, así como nuevos métodos de evasión, borrado y anti-forense para no ser detectados y confundir la atribución.
Financiamiento de un régimen y desafío geopolítico
Los robos de Lazarus no solo causan pérdidas millonarias a empresas y plataformas: según TRM Labs, refuerzan la “economía de guerra” norcoreana y el desarrollo armamentístico del país.
Naciones Unidas cifra en miles de millones de dólares los recursos que ha conseguido el régimen mediante hackeos desde 2021; coreando una ciberamenaza que trasciende lo económico para convertirse en una cuestión de seguridad global.
Técnicas principales de Lazarus
Malware personalizado y modular (MagicRAT, QuiteRAT, LPEClient), capaces de escalar privilegios y mantener persistencia.
Spear phishing avanzado: mails y mensajes altamente personalizados dirigidos a targets clave; explotación de errores humanos.
Zero-days y exploits de día cero: ataques antes de que existan parches públicos.
Ataques watering hole y cadena de suministro: distribuyen malware a través de webs legítimas o comprometen software usado por sus objetivos.
Anti-forense y uso de “banderas falsas”: manipulan apariencia del malware para camuflar su autoría y evitan ser rastreados cambiando herramientas, servidores y métodos.
Campañas recientes y evolución
SyncHole (2024-2025): campaña contra Corea del Sur que combinó watering hole y explotación de vulnerabilidad 0-day en software financiero obligatorio en el país. Modularidad, sigilo y rapidez fueron las claves.
Malware en software legítimo: Lazarus intenta comprometer proveedores de software y robar código fuente, como en el ataque a la cadena de suministro 3CX y herramientas web cifradas.
Innovaciones en borrado de datos y denegación de servicio: malware como KILLMBR, QDDOS y DESTOVER tiene como misión hacer inoperativos los sistemas tras el robo
¿Cómo defenderse del grupo Lazarus?
Implementa defensa avanzada multicapa y segmenta accesos críticos (no solo tecnológicamente, sino auditando a empleados y cadenas de proveedores).
Refuerza el control de cambios, la actualización rápida de sistemas y la autenticación multifactor.
Formación regular en phishing, ingeniería social y prácticas seguras a todo el equipo.
Audita software de terceros, monitoriza actividad anómala y responde de forma inmediata a cualquier incidente.
Consulta siempre las alertas de organismos de referencia (INCIBE, FBI, Europol).
🛡️ Solicita tu consultoría gratuita con Apolo Cybersecurity y prepárate ante los ataques del grupo de hackers más temido del mundo
El grupo Lazarus confirma que el cibercrimen más sofisticado de 2025 va mucho más allá de “virus” o ransomware: es una herramienta estratégica de regímenes, una disrupción global y un reto permanente para empresas, ciudadanos y Estados. Solo la resiliencia, la inteligencia colectiva y la protección avanzada permitirán defenderse de su evolución constante.
%402x.svg){kind=icon}
