Ledger Nano S+ falsificado drena carteras en 20 cadenas

Un investigador de seguridad con sede en Brasil revela una operación falsificada de Ledger Nano S+ que utiliza firmware malicioso y aplicaciones falsas para vaciar carteras en 20 cadenas de bloques.

Un investigador de seguridad con sede en Brasil ha expuesto una de las operaciones de falsificación de Ledger Nano S+ más sofisticadas jamás documentadas. El dispositivo falso, obtenido en un mercado chino, llevaba firmware malicioso personalizado y una aplicación clonada. El atacante robó inmediatamente todas las frases semilla que los usuarios ingresaron.

El investigador compró el dispositivo sospechando irregularidades en el precio. Al abrirlo, la naturaleza falsa fue evidente. En lugar de desecharlo, se realizó un desmontaje completo.

Qué se Ocultaba Dentro del Chip

El Ledger Nano S+ genuino utiliza un chip de Elemento Seguro ST33. Este dispositivo tenía en su lugar un ESP32-S3. Las marcas del chip fueron lijadas físicamente para bloquear su identificación. El firmware se identificaba como “Ledger Nano S+ V2.1” — una versión que no existe.

Los investigadores encontraron semillas y PINs almacenados en texto plano tras realizar un volcado de memoria. El firmware emitía señales a un servidor de comando y control en kkkhhhnnn[.]com. Cualquier frase semilla ingresada en este hardware era exfiltrada al instante.

El dispositivo soporta aproximadamente 20 cadenas de bloques para vaciado de carteras. Eso no es una operación menor.

Cinco Vectores de Ataque, No Uno Solo

El vendedor incluyó una versión modificada de la aplicación “Ledger Live” con el dispositivo. Los desarrolladores construyeron la app con React Native usando Hermes v96 y la firmaron con un certificado de depuración de Android. Los atacantes no se molestaron en obtener una firma legítima.

La app se conecta a XState para interceptar comandos APDU. Utiliza solicitudes XHR sigilosas para extraer datos sin ser detectados. Los investigadores identificaron dos servidores adicionales de comando y control: s6s7smdxyzbsd7d7nsrx[.]icu y ysknfr[.]cn.

Esto no se limita a Android. La misma operación distribuye un archivo .EXE para Windows y un .DMG para macOS, asemejándose a campañas rastreadas por Moonlock bajo AMOS/JandiInstaller. También circula una versión para iOS en TestFlight, que evita completamente la revisión de la App Store — una táctica previamente vinculada a estafas CryptoRom. En total, cinco vectores: hardware, Android, Windows, macOS, iOS.

La Verificación de Autenticidad No Puede Salvarte Aquí

La guía oficial de Ledger confirma que los dispositivos genuinos llevan un conjunto de claves criptográficas secretas durante la fabricación. La Verificación de Genuinidad de Ledger en Ledger Wallet comprueba esta clave cada vez que un dispositivo se conecta. Según la documentación de soporte de Ledger, solo un dispositivo genuino puede pasar esa verificación.

El problema es sencillo. Una comprometedora durante la fabricación hace que cualquier verificación de software sea inútil. El firmware malicioso imita lo suficiente del comportamiento esperado para pasar las verificaciones básicas. El investigador confirmó esto directamente en el desmontaje.

Ataques anteriores a la cadena de suministro dirigidos a usuarios de Ledger han demostrado repetidamente que la verificación a nivel de embalaje no es suficiente. Casos documentados en BitcoinTalk muestran a usuarios individuales perdiendo más de $200,000 en carteras de hardware falsas de mercados de terceros.

Dónde Se Están Vendiendo Estos Dispositivos

Los mercados de terceros son el canal de distribución principal. Los vendedores terceros en Amazon, eBay, Mercado Libre, JD y AliExpress tienen historiales documentados de listar carteras de hardware comprometidas, señaló el investigador en la publicación de Reddit en r/ledgerwallet.

El precio es deliberadamente sospechoso. Esa es la trampa. Una fuente no oficial no ofrece un Ledger con descuento como una oferta — vende un producto comprometido para beneficiar al atacante.

Los canales oficiales de Ledger son su propio sitio de comercio electrónico en Ledger.com y tiendas verificadas en Amazon en 18 países. En ningún otro lugar se garantiza la autenticidad.

Qué Está Haciendo el Investigador a Continuación

El equipo preparó un informe técnico completo para el equipo de Donjon de Ledger y su programa de recompensas por phishing, y publicará el análisis completo después de que Ledger finalice su análisis interno.

El investigador ha puesto a disposición los Indicadores de Compromiso (IOCs) a otros profesionales de seguridad mediante mensajes directos. Cualquier persona que haya comprado un dispositivo en una fuente cuestionable puede contactarse para asistencia en identificación.

Las señales de advertencia clave siguen siendo simples. Una frase semilla pre-generada incluida con el dispositivo es una estafa. La documentación que pide a los usuarios escribir una frase semilla en una app también es una estafa. Destruye el dispositivo inmediatamente en cualquiera de los casos.