Los actores de amenazas con vínculos con la República Popular Democrática de Corea (RPDC o Corea del Boreal) han jugado un papel central en impulsar un aumento en el robo mundial de criptomonedas en 2025, representando al menos 2.020 millones de dólares de los más de 3.400 millones de dólares robados desde enero hasta principios de diciembre.
La signo representa un aumento del 51 % año tras año y 681 millones de dólares más que en 2024, cuando los actores de amenazas robaron 1.300 millones de dólares, según el Crypto Crime Report de Chainalysis compartido con The Hacker News.
“Este es el año más severo registrado para el robo de criptomonedas en la RPDC en términos de valía robado, y los ataques de la RPDC incluso representan un récord del 76% de todos los compromisos de servicios”, dijo la compañía de inteligencia blockchain. “En común, las cifras de 2025 elevan la estimación acumulada más quebranto de los fondos en criptomonedas robados por la RPDC a 6.750 millones de dólares”.
Solo el compromiso de febrero del intercambio de criptomonedas Bybit es responsable de 1.500 millones de dólares de los 2.020 millones de dólares saqueados por Corea del Boreal. El ataque se atribuyó a un montón de amenazas conocido como TraderTraitor (incluso conocido como Jade Sleet y Slow Piscis). Un exploración publicado por Hudson Rock a principios de este mes vinculó una máquina infectada con Lumma Stealer a la infraestructura asociada con el hack de Bybit basándose en la presencia de la dirección de correo electrónico “trevorgreer9312@gmail(.)com”.
Los robos de criptomonedas son parte de una serie más amplia de ataques realizados por el montón de piratería respaldado por Corea del Boreal llamado Lazarus Group durante la última decenio. Además se cree que el adversario está involucrado en el robo de criptomonedas por valía de 36 millones de dólares del veterano intercambio de criptomonedas de Corea del Sur, Upbit, el mes pasado.
El Peña Lazarus está afiliado a la Oficina Militar de Inspección (RGB) de Pyongyang. Se estima que ha desviado no menos de 200 millones de dólares de más de 25 atracos de criptomonedas entre 2020 y 2023.
El adversario del Estado-nación es uno de los grupos de hackers más prolíficos que incluso tiene un historial de orquestar una campaña de larga duración conocida como Operación Dream Job, en la que los posibles empleados que trabajan en los sectores de defensa, manufactura, química, aeroespacial y tecnología son abordados a través de LinkedIn o WhatsApp con lucrativas oportunidades laborales para engañarlos para que descarguen y ejecuten malware como BURNBOOK, MISTPEN y BADCALL, el posterior de los cuales incluso viene en una traducción para Linux.
El objetivo final de estos esfuerzos es doble: compendiar datos confidenciales y producir ingresos ilícitos para el régimen en violación de las sanciones internacionales impuestas al país.
Un segundo enfoque acogido por los actores de amenazas norcoreanos es incorporar a trabajadores de tecnología de la información (TI) en el interior de empresas de todo el mundo con falsos pretextos, ya sea a título individual o a través de empresas frontispicio como DredSoftLabs y Metamint Studio que están creadas para este propósito. Esto incluso incluye obtener golpe privilegiado a servicios criptográficos y permitir compromisos de parada impacto. La operación fraudulenta ha sido apodada Wagemole.
“Parte de este año récord probablemente refleja una veterano dependencia de la infiltración de trabajadores de TI en los intercambios, custodios y empresas Web3, lo que puede acelerar el golpe auténtico y el movimiento vecino ayer del robo a gran escalera”, dijo Chainalysis.
Independientemente del método utilizado, los fondos robados se canalizan a través de servicios de aval y movimiento de capital en idioma chino, así como puentes entre cadenas, mezcladores y mercados especializados como Huione para asear las ganancias. Es más, los activos robados siguen una ruta de lavado estructurada de múltiples ondas que se desarrolla durante aproximadamente 45 días a posteriori de los ataques.
- Ola 1: capas inmediatas (días 0 a 5)que implica distanciar inmediatamente los fondos de la fuente del robo utilizando protocolos DeFi y servicios combinados
- Ola 2: Integración auténtico (días 6 a 10)que implica transferir los fondos a intercambios de criptomonedas, servicios de mezcla de segundo nivel y puentes entre cadenas como XMRt
- Ola 3: Integración final (días 20-45)que implica el uso de servicios que facilitan la conversión final a moneda fiduciaria u otros activos.
“Su uso intensivo de servicios profesionales de lavado de capital en chino y comerciantes de cesión redimido (OTC) sugiere que los actores de amenazas de la RPDC están estrechamente integrados con actores ilícitos en toda la región de Asia y el Pacífico, y es consistente con el uso histórico de Pyongyang de redes con saco en China para obtener golpe al sistema financiero internacional”, dijo la compañía.
La revelación se produce cuando Minh Phuong Ngoc Vong, un hombre de Maryland de 40 abriles, ha sido sentenciado a 15 meses de prisión por su papel en el plan de trabajadores de TI al permitir que ciudadanos norcoreanos radicados en Shenyang, China, usaran su identidad para conseguir empleos en varias agencias gubernamentales de EE. UU., según el Unidad de Neutralidad de EE. UU. (DoJ).
Entre 2021 y 2024, Vong utilizó tergiversaciones fraudulentas para obtener empleo en al menos 13 empresas estadounidenses diferentes, incluido un convenio en la Despacho Federal de Aviación (FAA). En total, Vong recibió más de 970.000 dólares en salario por servicios de progreso de software realizados por conspiradores extranjeros.
“Vong conspiró con otros, incluido John Doe, incluso conocido como William James, un ciudadano extranjero que vive en Shenyang, China, para defraudar a empresas estadounidenses para que contrataran a Vong como desarrollador de software remoto”, dijo el Unidad de Neutralidad. “Luego de conseguir estos trabajos a través de declaraciones materialmente falsas sobre su educación, capacitación y experiencia, Vong permitió que Doe y otros usaran sus credenciales de golpe a la computadora para realizar el trabajo de progreso de software remoto y aceptar un plazo por ese trabajo”.
El esquema de trabajadores de TI parece estar experimentando un cambio de táctica, con actores vinculados a la RPDC actuando cada vez más como reclutadores para alistar colaboradores a través de plataformas como Upwork y Freelancer para prosperar aún más las operaciones.
“Estos reclutadores se acercan a los objetivos con un discurso escrito, solicitando ‘colaboradores’ que ayuden a ofertar y entregar proyectos. Proporcionan instrucciones paso a paso para el registro de cuentas, la demostración de identidad y el intercambio de credenciales”, dijo Security Alliance en un mensaje publicado el mes pasado.
“En muchos casos, las víctimas finalmente ceden el golpe completo a sus cuentas independientes o instalan herramientas de golpe remoto como AnyDesk o Chrome Remote Desktop. Esto permite al actor de amenazas negociar bajo la identidad verificada y la dirección IP de la víctima, lo que les permite eludir los controles de demostración de la plataforma y realizar actividades ilícitas sin ser detectadas”.
