Los actores de amenazas con vínculos con la República Popular Democrática de Corea (RPDC o Corea del Norte) han sido fundamentales para impulsar un aumento en el robo global de criptomonedas en 2025, representando al menos 2.020 millones de dólares de los más de 3.400 millones de dólares robados desde enero hasta principios de diciembre.
La cifra representa un aumento del 51 % año tras año y 681 millones de dólares más que en 2024, cuando los actores de amenazas robaron 1.300 millones de dólares, según el Crypto Crime Report de Chainalysis compartido con The Hacker News.
«Este es el año más severo registrado para el robo de criptomonedas en la RPDC en términos de valor robado, y los ataques de la RPDC también representan un récord del 76% de todos los compromisos de servicios», dijo la compañía de inteligencia blockchain. dicho. «En general, las cifras de 2025 elevan la estimación acumulada más baja de los fondos en criptomonedas robados por la RPDC a 6.750 millones de dólares».
El compromiso de febrero Sólo Bybit, del intercambio de criptomonedas, es responsable de 1.500 millones de dólares de los 2.020 millones de dólares saqueados por Corea del Norte. El ataque fue atribuido a un grupo de amenazas conocido como comerciantetraidor (también conocido como Jade Sleet y Slow Piscis). Un análisis publicado por Hudson Rock a principios de este mes vinculó una máquina infectada con Lumma Stealer a la infraestructura asociada con el hack de Bybit basándose en la presencia de la dirección de correo electrónico «trevorgreer9312@gmail[.]com«.
Los robos de criptomonedas son parte de una serie más amplia de ataques realizados por el grupo de piratería respaldado por Corea del Norte llamado Lazarus Group durante la última década. El adversario también creyó estar involucrado en el robo de $ 36 millones en criptomonedas del mayor intercambio de criptomonedas de Corea del Sur, Upbitel mes pasado.
El Grupo Lazarus está afiliado a la Oficina General de Reconocimiento (RGB) de Pyongyang. Es estimado haber desviado no menos de 200 millones de dólares de más de 25 atracos de criptomonedas entre 2020 y 2023.
El adversario del Estado-nación es uno de los grupos de hackers más prolíficos y también tiene un historial de orquestando una campaña de larga duración conocida como Operación Trabajo de ensueñoen el que posibles empleados A los que trabajan en los sectores de defensa, manufactura, química, aeroespacial y tecnología se les ofrece a través de LinkedIn o WhatsApp lucrativas oportunidades laborales para engañarlos para que descarguen y ejecuten malware como QUEMAR LIBRO, ERRORy MALA LLAMADAel último de los cuales también viene en un versión de linux.
El objetivo final de estos esfuerzos es doble: recopilar datos confidenciales y generar ingresos ilícitos para el régimen en violación de las sanciones internacionales impuestas al país.
Un segundo enfoque adoptado por los actores de amenazas norcoreanos es empotrar Trabajadores de tecnologías de la información (TI) dentro de empresas de todo el mundo. bajo falsos pretextosya sea a título individual o a través de empresas fachada como DredSoftLabs y Estudio Metamint que se establezcan al efecto. Esto también incluye obtener acceso privilegiado a servicios criptográficos y permitir compromisos de alto impacto. La operación fraudulenta ha sido apodada Wagemole.
«Parte de este año récord probablemente refleja una mayor dependencia de la infiltración de trabajadores de TI en los intercambios, custodios y empresas Web3, lo que puede acelerar el acceso inicial y el movimiento lateral antes del robo a gran escala», dijo Chainalysis.
Independientemente del método utilizado, los fondos robados se canalizan a través de servicios de garantía y movimiento de dinero en idioma chino, así como puentes entre cadenas, mezcladores y mercados especializados como Huione para lavar las ganancias. Es más, los activos robados siguen una ruta de lavado estructurada de múltiples ondas que se desarrolla durante aproximadamente 45 días después de los ataques.
- Ola 1: capas inmediatas (días 0 a 5)que implica distanciar inmediatamente los fondos de la fuente del robo utilizando protocolos DeFi y servicios combinados
- Ola 2: Integración inicial (días 6 a 10)que implica transferir los fondos a intercambios de criptomonedas, servicios de mezcla de segundo nivel y puentes entre cadenas como XMRt
- Ola 3: Integración final (días 20-45)que implica el uso de servicios que facilitan la conversión final a moneda fiduciaria u otros activos.
«Su uso intensivo de servicios profesionales de lavado de dinero en chino y comerciantes de venta libre (OTC) sugiere que los actores de amenazas de la RPDC están estrechamente integrados con actores ilícitos en toda la región de Asia y el Pacífico, y es consistente con el uso histórico de Pyongyang de redes con base en China para obtener acceso al sistema financiero internacional», dijo la compañía.
La revelación surge como Minh Phuong Ngoc Vongun hombre de Maryland de 40 años, ha sido condenado a 15 meses de prisión por su papel en el Plan de trabajadores de TI al permitir que los ciudadanos norcoreanos radicados en Shenyang, China, usen su identidad para conseguir trabajos en varias agencias gubernamentales de EE. UU., según el Departamento de Justicia de EE. UU. (DoJ).
Entre 2021 y 2024, Vong utilizó tergiversaciones fraudulentas para obtener empleo en al menos 13 empresas estadounidenses diferentes, incluido un contrato en la Administración Federal de Aviación (FAA). En total, Vong recibió más de 970.000 dólares en salario por servicios de desarrollo de software realizados por conspiradores extranjeros.
«Vong conspiró con otros, incluido John Doe, también conocido como William James, un ciudadano extranjero que vive en Shenyang, China, para defraudar a empresas estadounidenses para que contrataran a Vong como desarrollador de software remoto», dijo el Departamento de Justicia. dicho. «Después de conseguir estos trabajos a través de declaraciones materialmente falsas sobre su educación, capacitación y experiencia, Vong permitió que Doe y otros usaran sus credenciales de acceso a la computadora para realizar el trabajo de desarrollo de software remoto y recibir un pago por ese trabajo».
El esquema de trabajadores de TI parece estar experimentando un cambio de estrategia, con actores vinculados a la RPDC actuando cada vez más como reclutadores para reclutar colaboradores a través de plataformas como Upwork y Freelancer para escalar aún más las operaciones.
«Estos reclutadores se acercan a los objetivos con un discurso escrito, solicitando 'colaboradores' que ayuden a ofertar y entregar proyectos. Proporcionan instrucciones paso a paso para el registro de cuentas, la verificación de identidad y el intercambio de credenciales», Security Alliance dicho en un informe publicado el mes pasado.
«En muchos casos, las víctimas finalmente ceden el acceso completo a sus cuentas independientes o instalan herramientas de acceso remoto como AnyDesk o Chrome Remote Desktop. Esto permite al actor de amenazas operar bajo la identidad verificada y la dirección IP de la víctima, lo que les permite eludir los controles de verificación de la plataforma y realizar actividades ilícitas sin ser detectadas».
Fuente