Los actores de amenazas con vínculos con la República Popular Democrática de Corea (RPDC o Corea del Norte) están contribuyendo a un aumento en el robo global de criptomonedas en 2025, representando al menos 2.020 millones de dólares de los más de 3.400 millones de dólares robados desde enero hasta principios de diciembre.
Esta cifra ha aumentado un 51 % año tras año y 681 millones de dólares más que en 2024, cuando los actores de amenazas robaron 1.300 millones de dólares, según el Chaineries Crypto Crime Report compartido con The Hacker News.
«Este año marca el año más mortífero registrado para el robo de criptomonedas por parte de Corea del Norte en términos de valor robado, y los ataques de Corea del Norte representaron el 76% de todas las violaciones de servicios, un máximo histórico», dijo la firma de inteligencia blockchain. «En general, las cifras de 2025 elevan la estimación acumulada más baja de los fondos criptográficos robados por Corea del Norte a 6.750 millones de dólares».
Sólo la violación del intercambio de criptomonedas Bybit en febrero fue responsable de 1.500 millones de dólares de los 2.020 millones de dólares saqueados por Corea del Norte. Se cree que este ataque es obra de un grupo de amenazas conocido como TraderTraitor (también conocido como Jade Sleet y Slow Piscis). El análisis publicado por Hudson Rock a principios de este mes vinculó las máquinas infectadas con Lumma Stealer a la infraestructura asociada con el hack de Bybit basándose en la presencia de la dirección de correo electrónico trevorgreer9312@gmail(.)com.
El robo de criptomonedas es parte de una serie más amplia de ataques llevados a cabo durante la última década por un grupo de hackers respaldado por Corea del Norte llamado Lazarus Group. También se cree que el enemigo está detrás del robo de criptomonedas por valor de 36 millones de dólares del mayor intercambio de criptomonedas de Corea del Sur, Upbit, el mes pasado.
El Grupo Lazarus está afiliado a la Oficina General de Reconocimiento (RGB) de Pyongyang. Se estima que se desviaron al menos 200 millones de dólares en más de 25 robos de criptomonedas entre 2020 y 2023.
Lazarus Group es uno de los grupos de hackers más prolíficos y tiene un historial de organización de una campaña de larga duración llamada «Operación Dream Job». La campaña ofrece a empleados potenciales en los sectores de defensa, manufactura, química, aeroespacial y tecnología oportunidades laborales bien remuneradas a través de LinkedIn o WhatsApp, obligándolos a descargar y ejecutar malware como BURNBOOK, MISTPEN y BADCALL. El último malware también tiene una versión para Linux.
El objetivo final de estos esfuerzos es doble. Uno es recopilar datos confidenciales y el otro es generar ingresos ilegales para el régimen en violación de las sanciones internacionales impuestas al país.
Un segundo enfoque adoptado por los actores de amenazas norcoreanos es integrar a los empleados de tecnología de la información (TI) en empresas de todo el mundo con falsos pretextos, ya sea como individuos o a través de empresas fachada establecidas para este propósito, como DredSoftLabs y Metamint Studio. Esto incluye obtener acceso privilegiado a servicios criptográficos y permitir infracciones de alto impacto. Esta actividad fraudulenta ha sido apodada «Wagemole».
«Parte de este año récord probablemente refleje una mayor dependencia de la penetración de los trabajadores de TI en los intercambios, custodios y empresas Web3, lo que puede acelerar el acceso inicial y el movimiento lateral antes de los robos a gran escala», dijo Chainalysis.
Luego, los fondos robados se blanquean a través de servicios de garantía y transferencia de fondos en idioma chino, así como de mercados especializados como puentes entre cadenas, mezcladores y Huione. Además, los activos robados siguen un camino estructurado de lavado de múltiples ondas que se desarrolla aproximadamente 45 días después del ataque.
Ola 1: estratificación inmediata (días 0 a 5), implica el uso de protocolos DeFi y servicios combinados para alejar inmediatamente los fondos de la fuente del robo. Ola 2: integración inicial (días 6 a 10), implica mover fondos a intercambios criptográficos, servicios de mezcla secundarios y puentes entre cadenas como XMRt Ola 3: integración final (20 a 45 días), incluido el uso de los Servicios para facilitar la conversión final en moneda fiduciaria u otros activos.
«Su uso intensivo de servicios profesionales de lavado de dinero en chino y comerciantes de venta libre (OTC) sugiere que los actores de amenazas norcoreanos están estrechamente integrados con actores ilícitos en toda la región de Asia y el Pacífico, y es consistente con el uso histórico de Corea del Norte de redes con sede en China para acceder al sistema financiero internacional», dijo la compañía.
La revelación se produce cuando un hombre de Maryland de 40 años, Minh Phuong Ngoc Vuong, fue sentenciado a 15 meses de prisión por su papel en el programa de trabajadores de TI, que permitía a los ciudadanos norcoreanos radicados en Shenyang, China, usar su estatus para obtener empleo en múltiples agencias gubernamentales de Estados Unidos, según el Departamento de Justicia de Estados Unidos.
El Sr. Vong hizo tergiversaciones fraudulentas para obtener empleo en al menos 13 empresas estadounidenses entre 2021 y 2024, incluida la obtención de contratos con la Administración Federal de Aviación (FAA). En total, el Sr. Vong recibió más de 970.000 dólares por servicios de desarrollo de software realizados por sus cómplices en el extranjero.
«Vong conspiró con otros, incluido William James, también conocido como John Doe, un ciudadano extranjero residente en Shenyang, China, para engañar a las empresas estadounidenses para que contrataran a Vong como desarrollador de software remoto», dijo el Departamento de Justicia. «Después de conseguir estos trabajos haciendo declaraciones materialmente falsas sobre su educación, capacitación y experiencia, el Sr. Vong autorizó al Sr. Doe y a otros a usar sus credenciales de acceso a la computadora para realizar trabajos de desarrollo de software remoto y recibir una compensación por ese trabajo».
El sistema de fuerza laboral de TI parece estar experimentando un cambio de estrategia, con actores vinculados a Corea del Norte actuando cada vez más como reclutadores, reclutando colaboradores a través de plataformas como Upwork y Freelancer para expandir aún más sus operaciones.
«Estos reclutadores se acercan a los objetivos con presentaciones escritas, solicitando ‘asociados’ que los ayuden a ofertar y entregar proyectos. Proporcionan instrucciones paso a paso para registrar una cuenta, verificar la identidad y compartir credenciales», dijo Security Alliance en un informe publicado el mes pasado.
«Las víctimas a menudo terminan renunciando al acceso completo a sus cuentas independientes o instalando herramientas de acceso remoto, como AnyDesk o Chrome Remote Desktop. Esto permite a los actores de amenazas operar bajo la identidad verificada y la dirección IP de la víctima, evitando los controles de verificación de la plataforma y realizando actividades ilegales sin ser detectadas».
Source link
