GreedyBear: El Grupo Criminal que Revoluciona el Robo de Criptomonedas a Escala Industrial
«GreedyBear ha redefinido el robo de cripto a escala industrial». Con esta declaración de Tuval Admoni, investigador de Koi Security, se presenta un caso que impacta los cimientos de la ciberseguridad. Este grupo, identificado como GreedyBear, ha sustraído más de $1 millón en criptomonedas mediante una estrategia triple: 150+ extensiones falsas en Firefox, 500+ muestras de malware y una red de sitios web fraudulentos. El informe de Koi Security detalla cómo esta tríada coordinada marca una evolución peligrosa: los robos automatizados con IA, masivos y multimodales son ya «la nueva normalidad».
GreedyBear: La Nueva Cara del Crimen Cripto Industrial
La investigación liderada por Admoni revela una operación industrializada. Más allá del millón de dólares robado, lo alarmante es la sofisticación: GreedyBear desplegó más de 650 herramientas maliciosas combinando tres vectores simultáneamente. Como señala Admoni: «La mayoría de grupos elige un camino… GreedyBear dijo, ‘¿por qué no los tres?’. Esta coordinación rompe los esquemas tradicionales de cibercrimen.
Los Tres Brazos del Ataque: La Tríada GreedyBear
Extensiones Falsas: El Caballo de Troya en Firefox
El grupo publicó más de 150 extensiones maliciosas en Firefox, imitando wallets como MetaMask, TronLink y Exodus. Su técnica, denominada «Extension Hollowing», es insidiosa: primero suben una extensión legítima para superar revisiones, luego la convierten en maliciosa. Estas falsificaciones capturan credenciales directamente desde interfaces de wallets. Deddy Lavid de Cyvers advierte: «Los cibercriminales están aprovechando la confianza en las tiendas de extensiones». Este método recuerda a la campaña «Foxy Wallet» atribuida a actores rusos.
Malware Cripto: Robo de Credenciales y Ransomware
Koi Security identificó casi 500 muestras de malware distribuidos mediante sitios rusos de software pirata. Destacan LummaStealer (especializado en robo de credenciales) y Luca Stealer, un ransomware que exige rescates en criptomonedas.
Sitios Scam Cripto: Más Allá del Phishing Tradicional
No son páginas de phishing rudimentarias, sino landing pages falsas de alta calidad que promocionan wallets digitales o servicios fraudulentos. Toda la operación se centralizó en un único servidor/IP, funcionando como centro de comando y recolección de datos. Esta infraestructura unificada garantizó ataques sincronizados.
Innovación Criminal: La Huella de la IA y la Eficiencia Industrial
Koi Security halló evidencias de código generado por IA en la campaña. Esta automatización permitió escalar los ataques de forma masiva. Según Admoni, «Esto no es una tendencia pasajera; es la nueva normalidad». GreedyBear representa un salto evolutivo: crimen coordinado y de alcance industrial.
Implicaciones y Advertencias de los Expertos
Los ataques inyectan lógica maliciosa directamente en interfaces de wallets, burlando defensas estáticas. Lavid de Cyvers es claro: «Necesitamos respuestas contundentes: navegadores y marketplaces deben implementar revisiones más estrictas. Los desarrolladores, mayor transparencia en el código. Y los usuarios, vigilancia extrema: verificar URL, reseñas auténticas y descargar solo desde fuentes oficiales».
Conclusión: La Nueva Normalidad Exige Máxima Precaución
GreedyBear —con su tríada de ataques, $1 millón+ robado y 650+ herramientas maliciosas— encarna la industrialización del cibercrimen cripto. La sofisticación y el uso de IA consolidan esta amenaza. Los usuarios deben adoptar escepticismo proactivo: auditar extensiones y priorizar fuentes oficiales. La industria debe reforzar urgentemente estándares de seguridad. La era de la confianza implícita ha terminado.
Imágenes sugeridas: Extensión falsa de Exodus y esquema del servidor central de GreedyBear (Fuente: Koi Security).
