Los actores de amenazas con vínculos con la República Popular Democrática de Corea (RPDC o Corea del Norte) desempeñaron un papel decisivo en impulsar un aumento en el robo global de criptomonedas en 2025, representando al menos 2.020 millones de dólares de los más de 3.400 millones de dólares robados desde enero hasta principios de diciembre.
Según el Crypto Crime Report de Chainalysis compartido con The Hacker News, la cifra representa un aumento del 51% con respecto al año pasado y 681 millones de dólares más que en 2024, cuando los actores de amenazas robaron 1.300 millones de dólares.
“Este es el peor año registrado en cuanto a robo de criptomonedas en la RPDC en términos de valor robado, y los ataques en la RPDC también representan un récord del 76% de todas las interrupciones del servicio”, dijo la firma de inteligencia blockchain. “En general, las cifras de 2025 elevan la estimación acumulada más baja de fondos en criptomonedas robados de la RPDC a 6.750 millones de dólares”.
Sólo el compromiso del intercambio de criptomonedas Bybit en febrero es responsable de 1.500 millones de dólares de los 2.020 millones de dólares saqueados por Corea del Norte. El ataque se atribuyó a un grupo de amenazas llamado TraderTraitor (también conocido como Jade Sleet y Slow Piscis). Un análisis publicado a principios de este mes por Hudson Rock vinculó una computadora infectada con Lumma Stealer a la infraestructura asociada con el hack de Bybit basándose en la presencia de la dirección de correo electrónico “trevorgreer9312@gmail(.)com”.
Los robos de criptomonedas son parte de una serie más amplia de ataques llevados a cabo durante la última década por el grupo de piratería respaldado por Corea del Norte llamado Lazarus Group. También se cree que el atacante estuvo involucrado en el robo de criptomonedas por valor de 36 millones de dólares del mayor intercambio de criptomonedas de Corea del Sur, Upbit, el mes pasado.
El Grupo Lazarus está afiliado a la Oficina General de Reconocimiento (RGB) de Pyongyang. Se estima que se robaron no menos de 200 millones de dólares en más de 25 robos de criptomonedas entre 2020 y 2023.
El Grupo Lazarus es uno de los grupos de hackers más prolíficos, que también tiene un historial de orquestar una campaña de larga duración llamada Operación Dream Job, en la que potenciales empleados de defensa, manufactura, química, aeroespacial y tecnología son atacados a través de LinkedIn o WhatsApp con lucrativas ofertas de trabajo para incitarlos a descargar y ejecutar malware como BURNBOOK, MISTPEN y BADCALL, el último de los cuales también está disponible en una versión para Linux.
El objetivo final de este esfuerzo tiene dos frentes: recopilar datos confidenciales y generar ingresos ilícitos para el régimen en violación de las sanciones internacionales impuestas al país.
Un segundo enfoque utilizado por los actores de amenazas norcoreanos es incorporar empleados de tecnología de la información (TI) bajo falsos pretextos en empresas de todo el mundo, ya sea individualmente o a través de empresas fachada como DredSoftLabs y Metamint Studio que fueron creadas para este propósito. Esto también incluye obtener acceso privilegiado a servicios criptográficos y permitir compromisos graves. La operación fraudulenta recibe el sobrenombre de Wagemole.
“Parte de este año récord probablemente refleja una mayor dependencia de la infiltración del personal de TI en los intercambios, custodios y empresas Web3, lo que puede acelerar el acceso inicial y el movimiento lateral antes de los robos a gran escala”, dijo Chainalysis.
Luego, los fondos robados se canalizan a través de servicios de garantía y movimiento de dinero en idioma chino, así como puentes entre cadenas, mezcladores y mercados especializados como Huione para lavar las ganancias. Además, los activos robados siguen una ruta estructurada de lavado de dinero de varias etapas que se extiende aproximadamente 45 días después de los ataques.
- Ola 1: Estratificación Inmediata (Días 0-5)Esto implica la eliminación inmediata de fondos de la fuente del robo utilizando protocolos DeFi y servicios combinados.
- Ola 2: integración inicial (días 6 a 10)Esto incluye transferir fondos a intercambios de criptomonedas, servicios de mezcla de segundo nivel y puentes entre cadenas como XMRt.
- Ola 3: Integración final (días 20-45)que implica el uso de servicios que facilitan la conversión final en moneda fiduciaria u otros activos
“Su uso intensivo de servicios profesionales de lavado de dinero en chino y comerciantes de venta libre (OTC) sugiere que los actores de amenazas de la RPDC están estrechamente interconectados con actores ilícitos en toda la región de Asia y el Pacífico y es consistente con el uso histórico de Pyongyang de las redes chinas para obtener acceso al sistema financiero internacional”, dijo la compañía.
La revelación se produce cuando Minh Phuong Ngoc Vong, un hombre de Maryland de 40 años, fue sentenciado a 15 meses de prisión por su papel en el plan de trabajadores de TI al permitir que ciudadanos norcoreanos radicados en Shenyang, China, usaran su identidad para conseguir trabajos en varias agencias gubernamentales de EE. UU., según el Departamento de Justicia de EE. UU. (DoJ).
Entre 2021 y 2024, Vong utilizó tergiversaciones fraudulentas para obtener empleo en al menos 13 empresas estadounidenses diferentes, incluido un contrato con la Administración Federal de Aviación (FAA). En total, Vong recibió un salario de más de 970.000 dólares por servicios de desarrollo de software realizados por conspiradores extranjeros.
“Vong conspiró con otros, incluido John Doe, también conocido como William James, un ciudadano extranjero que vive en Shenyang, China, para inducir a las empresas estadounidenses a contratar a Vong como desarrollador de software remoto”, dijo el Departamento de Justicia. “Después de conseguir estos trabajos al tergiversar materialmente su educación, capacitación y experiencia, Vong permitió que Doe y otros usaran sus credenciales informáticas para realizar el trabajo de desarrollo de software remoto y recibir un pago por ese trabajo”.
El programa de trabajadores de TI parece estar experimentando un cambio de estrategia, con actores vinculados a la RPDC actuando cada vez más como reclutadores para reclutar a través de plataformas como Upwork y Freelancer para expandir aún más las operaciones.
“Estos reclutadores se dirigen a sus audiencias con un guión, pidiendo a los 'empleados' que ayuden con propuestas e implementando proyectos. Proporcionan instrucciones paso a paso para el registro de cuentas, la verificación de identidad y el intercambio de credenciales”, dijo Security Alliance en un informe publicado el mes pasado.
“En muchos casos, las víctimas terminan cediendo acceso completo a sus cuentas Freelance o instalando herramientas de acceso remoto como AnyDesk o Chrome Remote Desktop. Esto permite al actor de amenazas operar bajo la identidad verificada y la dirección IP de la víctima, lo que les permite eludir los controles de verificación de la plataforma y realizar actividades ilegales sin ser detectadas”.
About The Author
