Bitrefill accusa il gruppo hacker Lazarus, legato alla Corea del Nord, di aver compromesso 18.500 registrazioni di acquisto

Il 1° marzo 2026 la piattaforma di pagamenti in criptovalute e carte regalo Bitrefill ha attribuito al gruppo hacker legato alla Corea del Nord, noto come Lazarus Group o Bluenoroff, un attacco informatico che ha compromesso porzioni della sua infrastruttura e alcuni portafogli digitali.

Secondo la ricostruzione dell’azienda, gli aggressori hanno ottenuto chiavi di produzione, trasferito fondi da hot wallets e avuto accesso a circa 18.500 registrazioni d’acquisto contenenti email, indirizzi di pagamento in criptovalute e indirizzi IP. Circa 1.000 di queste registrazioni includevano nomi cifrati relativi ad alcuni prodotti. Gli utenti interessati sono stati notificati e le operazioni sono state progressivamente riallacciate; la società ha dichiarato che coprirà le perdite con il proprio capitale operativo.

Modalità dell’attacco

L’indagine interna ha individuato un insieme di tecniche tipiche degli attacchi attribuiti al Lazarus Group: uso di malware, analisi on-chain delle transazioni e il riutilizzo di indirizzi IP e account di posta compromessi per collegare attività diverse.

L’intrusione è iniziata da un computer aziendale di un dipendente compromesso, che ha esposto credenziali legacy e permesso agli aggressori di espandere l’accesso all’infrastruttura di Bitrefill, inclusi elementi del database e portafogli di criptovalute.

I primi segnali di anomalia sono emersi osservando pattern insoliti di acquisto presso alcuni fornitori, indicativi dello sfruttamento del magazzino di carte regalo e delle catene di rifornimento. Contestualmente gli aggressori hanno svuotato alcuni hot wallets spostando fondi verso indirizzi sotto il loro controllo, motivo per cui il sistema è stato temporaneamente messo offline per contenere i danni.

Bitrefill said:

“Bitrefill gestisce un’attività di e‑commerce globale con decine di fornitori, migliaia di prodotti e molteplici metodi di pagamento in numerosi Paesi. Spegnere tutto in sicurezza e riportarlo online non è un’operazione banale.”

Dalla scoperta dell’intrusione, Bitrefill ha collaborato con security researchers, team di incident response, analisti on-chain e le autorità di law enforcement per approfondire la matrice e l’impatto dell’attacco.

Impatto sui dati dei clienti

L’azienda ha precisato che non ci sono evidenze che i dati dei clienti fossero l’obiettivo primario: i log segnalano che gli aggressori hanno eseguito un numero limitato di query focalizzate su giacenze in criptovalute e inventario di carte regalo, piuttosto che un’esfiltrazione massiva dell’intero database.

Bitrefill conserva dati personali in misura ridotta e non impone KYC obbligatorio per la maggior parte dei servizi. Tuttavia, circa 18.500 registrazioni di acquisto sono state consultate: contenevano email, indirizzi di pagamento in criptovalute e metadati come indirizzi IP. Un sottoinsieme di circa 1.000 record includeva nomi cifrati relativi a prodotti specifici; tali informazioni sono trattate come potenzialmente compromesse e i clienti interessati sono stati contattati direttamente via email.

Attualmente Bitrefill ritiene che i clienti non debbano intraprendere azioni particolari, ma raccomanda prudenza rispetto a comunicazioni inattese che facciano riferimento a Bitrefill o alle loro attività in criptovalute.

Misure per rafforzare la sicurezza

In risposta all’incidente, la piattaforma ha annunciato una serie di interventi per innalzare il livello di sicurezza: test di penetrazione approfonditi con esperti esterni, inasprimento dei controlli di accesso interni, miglioramento del logging e del monitoraggio per rilevare le minacce più rapidamente, e perfezionamento delle procedure di risposta agli incidenti e dei protocolli di spegnimento automatico.

Tra le azioni operative è stata anche la scelta di utilizzare il proprio capitale operativo per coprire le perdite finanziarie generate dall’attacco, segnalando che l’azienda rimane ben finanziata e redditizia e in grado di assorbire l’impatto economico immediato.

Prospettive e implicazioni

La violazione sottolinea la persistenza della minaccia rivolta alle infrastrutture collegate alle criptovalute e l’importanza di pratiche di sicurezza consolidate: uso esteso di storage cold e multisig per fondi rilevanti, revisione e rimozione di credenziali legacy, segmentazione della rete, protezione dei dispositivi dei dipendenti e audit regolari della supply chain.

Il modus operandi osservato è coerente con attacchi precedentemente attribuiti al Lazarus Group, che in passato ha preso di mira progetti come Ronin Network, il bridge Horizon di Harmony, WazirX e Atomic Wallet, mettendo in luce come gruppi sofisticati continuino a evolvere le loro tattiche per sfruttare punti deboli sia tecnici sia organizzativi.

Bitrefill said:

“Essere colpiti da un attacco sofisticato è estremamente gravoso. Tuttavia siamo sopravvissuti e continueremo a impegnarci per meritare la fiducia dei nostri clienti.”

La vicenda evidenzia anche il ruolo cruciale della collaborazione tra settore privato, ricercatori e autorità per mitigare i danni e prevenire futuri incidenti, oltre all’importanza della trasparenza nella comunicazione agli utenti colpiti.