Los actores de amenazas vinculados a la República Popular Democrática de Corea (RPDC o Corea del Norte) han desempeñado un papel decisivo a la hora de impulsar el aumento del robo de criptomonedas a nivel mundial en 2025, lo que representa al menos 2.020 millones de dólares de los más de 3.400 millones robados entre enero y principios de diciembre.
La cifra representa un aumento del 51% año tras año y 681 millones de dólares más que en 2024, cuando los actores de amenazas robaron 1.300 millones de dólares, según el informe sobre delitos criptográficos de Chainalysis compartido con The Hacker News.
«Este es el año más grave registrado para el robo de criptomonedas en la RPDC en términos de robo de valor, y los ataques de la RPDC también representan un récord del 76% de todos los compromisos de servicio», dijo la empresa de inteligencia sobre cadenas de bloques dijo . «En general, las cifras de 2025 elevan la estimación acumulativa inferior de los fondos de criptomonedas robados por la RPDC a 6.750 millones de dólares».
El Compromiso de febrero de la bolsa de criptomonedas Bybit por sí sola es responsable de 1.500 millones de dólares de los 2.020 millones de dólares saqueados por Corea del Norte. El ataque fue atribuido a un clúster de amenazas conocido como Trader traidor (también conocido como Jade Sleet y Slow Piscis). ¿Un análisis publicado de Hudson Rock a principios de este mes vinculó una máquina infectada con Lumma Stealer a la infraestructura asociada con el hackeo de Bybit basándose en la presencia de la dirección de correo electrónico» trevorgreer9312 @gmail [.] com ».
Los robos de criptomonedas son parte de una serie más amplia de ataques realizados por el grupo de hackers respaldado por Corea del Norte llamado Lazarus Group durante la última década. El adversario también lo es creído estar involucrado en el robo de criptomonedas por valor de 36 millones de dólares de la mayor bolsa de criptomonedas de Corea del Sur, Upbit , el mes pasado.
Lazarus Group está afiliado a la Oficina General de Reconocimiento (RGB) de Pyongyang. Es estimada haber desviado no menos de 200 millones de dólares de más de 25 robos de criptomonedas entre 2020 y 2023.
El Grupo Lazarus es uno de los grupos de hackers más prolíficos que también tiene un historial de orquestando una campaña de larga duración denominada Operación Dream Job , en la que posibles empleados quienes trabajan en los sectores de la defensa, la fabricación, la química, la aeroespacial y la tecnología reciben oportunidades laborales lucrativas a través de LinkedIn o WhatsApp para engañarlos para que descarguen y ejecuten malware como LIBRO QUEMADO, BOLÍGRAFO , y MALA DECISIÓN , el último de los cuales también viene en Versión Linux .
El objetivo final de estos esfuerzos es doble: recopilar datos confidenciales y generar ingresos ilícitos para el régimen, en violación de las sanciones internacionales impuestas al país.
Un segundo enfoque adoptado por los actores de amenazas norcoreanos es incrustar trabajadores de tecnología de la información (TI) en empresas de todo el mundo con falsas pretensiones , ya sea a título individual o mediante empresas tapadera como Laboratorios Dredsoft y Estudio Metamint que están configurados para este propósito. Esto también incluye obtener un acceso privilegiado a los servicios criptográficos y permitir compromisos de alto impacto. La operación fraudulenta ha recibido el apodo de Wagemole.
«Es probable que parte de este año récord refleje una mayor dependencia de la infiltración de trabajadores de TI en las bolsas, los custodios y las empresas de Web3, lo que puede acelerar el acceso inicial y el movimiento lateral antes de que se produzcan robos a gran escala», afirma Chainalysis.
Luego, los fondos robados se canalizan a través de servicios de garantía y movimiento de dinero en chino, así como a través de puentes entre cadenas, mezcladores y mercados especializados como Huione para blanquear las ganancias. Además, los activos robados siguen una vía de blanqueo estructurada y en múltiples oleadas que dura aproximadamente 45 días después de los hackeos -
- Ola 1: Colocación inmediata de capas (días 0 a 5) , que implica el distanciamiento inmediato de los fondos de la fuente del robo mediante protocolos DeFi y servicios mixtos
- Etapa 2: Integración inicial (días 6 a 10) , que implica transferir los fondos a bolsas de criptomonedas, servicios de mezcla de segundo nivel y puentes entre cadenas como xMRT
- Fase 3: Integración final (días 20 a 45) , que implica el uso de servicios que faciliten la conversión final a moneda fiduciaria u otros activos
«Su uso intensivo de servicios profesionales de lavado de dinero y comerciantes extrabursátiles (OTC) en chino sugiere que los actores de amenazas de la RPDC están estrechamente integrados con los actores ilícitos en toda la región de Asia y el Pacífico, y es coherente con el uso histórico por parte de Pyongyang de las redes con sede en China para acceder al sistema financiero internacional», dijo la empresa.
La divulgación se produce como Minh Phuong Ngoc Vong , un hombre de 40 años de Maryland, ha sido condenado a 15 meses de prisión por su participación en el Esquema de trabajadores de TI al permitir que los ciudadanos norcoreanos residentes en Shenyang (China) usen su identidad para conseguir trabajo en varias agencias gubernamentales estadounidenses, según el Departamento de Justicia (DoJ) de los Estados Unidos.
Entre 2021 y 2024, Vong utilizó declaraciones falsas fraudulentas para obtener empleo en al menos 13 empresas estadounidenses diferentes, incluida la obtención de un contrato en la Administración Federal de Aviación (FAA). En total, a Vong se le pagaron más de 970.000 dólares de salario por servicios de desarrollo de software prestados por conspiradores extranjeros.
«Vong conspiró con otros, incluido John Doe, también conocido como William James, un ciudadano extranjero que vivía en Shenyang (China), para defraudar a las empresas estadounidenses para que contrataran a Vong como desarrollador de software remoto», dijo el DoJ dijo . «Tras conseguir estos puestos de trabajo mediante declaraciones materialmente falsas sobre su educación, formación y experiencia, Vong permitió que Doe y otras personas utilizaran sus credenciales de acceso a computadoras para realizar el trabajo de desarrollo remoto de software y recibir un pago por ese trabajo».
El esquema de trabajadores de TI parece estar experimentando un cambio de estrategia, ya que los actores vinculados a la RPDC actúan cada vez más como reclutadores para reclutar colaboradores a través de plataformas como Upwork y Freelancer para ampliar aún más las operaciones.
«Estos reclutadores abordan los objetivos con una propuesta guionada y solicitan a los «colaboradores» que les ayuden a licitar y entregar los proyectos. Proporcionan instrucciones paso a paso para el registro de la cuenta, la verificación de la identidad y el intercambio de credenciales», Security Alliance dijo en un informe publicado el mes pasado.
«En muchos casos, las víctimas acaban renunciando al acceso total a sus cuentas de autónomos o instalan herramientas de acceso remoto como AnyDesk o Chrome Remote Desktop. Esto permite al autor de la amenaza operar con la identidad y la dirección IP verificadas de la víctima, lo que le permite eludir los controles de verificación de la plataforma y llevar a cabo actividades ilícitas sin ser detectado».