El investigador en cadena ZachXBT reveló una amplia infiltración norcoreana en empresas de criptomoneda y tecnología mediante falsos planes de empleo.
La investigación rastrea 16,58 millones de dólares en pagos a trabajadores informáticos de la RPDC, al tiempo que identifica múltiples grupos operativos en varios proyectos.
ZachXBT revela 16,58 millones de dólares en pagos a desarrolladores norcoreanos
La investigación de ZachXBT descubre 16,58 millones de dólares en pagos a trabajadores informáticos norcoreanos desde el 1 de enero de 2025, con una media de 2,76 millones de dólares al mes mediante transacciones de criptomoneda.
Los importes de los pagos oscilan entre 3.000 y 8.000 dólares al mes por trabajador, lo que indica una infiltración de entre 345 empleos en el extremo inferior y 920 empleos en el extremo superior.
El detective de la cadena supervisa seis grupos diferentes de trabajadores informáticos de la RPDC. Sólo en uno de ellos hay 8 desarrolladores norcoreanos diferentes que han trabajado en más de 12 proyectos.
Las direcciones de pago de este grupo se remontan a dos direcciones de consolidación utilizadas para la recogida y distribución de fondos.
Sandy Nguyen, identificado como un trabajador informático de la RPDC de este grupo, fue visto a través de inteligencia de fuente abierta junto a una bandera de Corea del Norte en un acto en Rusia.
ZachXBT señaló que las empresas tecnológicas tradicionales se enfrentan a problemas de infiltración igualmente graves. Pero los criptopagos crean una trazabilidad en la cadena que permite rastrear los flujos de fondos hasta las empresas contratantes.
La investigación revela una explotación sistemática de las oportunidades de trabajo a distancia en múltiples industrias.
Los volúmenes de pagos mensuales muestran operaciones sostenidas y no incidentes aislados. Esto sugiere una coordinación organizada entre los informáticos norcoreanos que tienen como objetivo empresas tecnológicas occidentales.
Los indicadores operativos ponen al descubierto métodos sistemáticos de infiltración
ZachXBT identificó múltiples banderas rojas que los equipos descubrieron tras contratar a trabajadores informáticos norcoreanos. Eso reveló patrones operativos coherentes en todos los proyectos infiltrados.
Los trabajadores se negaron a reunirse en persona con los miembros del equipo a pesar de afirmar que vivían en la misma ciudad.
Tres trabajadores informáticos del mismo grupo se recomendaron mutuamente para puestos en el mismo proyecto. Eso indicaba esfuerzos de infiltración coordinados en lugar de solicitudes de empleo independientes.
Los miembros del personal supuestamente ubicados en California utilizaron direcciones IP rusas durante las sesiones de trabajo, que diferían de sus supuestas ubicaciones y vulneraban la seguridad.
Otras actividades sospechosas incluyen cambios en el manejo de GitHub, eliminación de cuentas de LinkedIn y verificación periódica fallida de KYC entre muchos empleados.
Los flujos de pagos a varios empleados de TI se dirigían a una dirección de criptomoneda. Esto indica una actividad financiera coordinada detrás de contratistas aparentemente independientes.
Los pagos de USDC se transfirieron directamente desde cuentas de Circle a tres direcciones del cluster observado. Los fondos se movieron sólo un salto desde una dirección incluida en la lista negra de Tether de abril de 2023 perteneciente a Hyon Sop Sim.
Otros grupos de trabajadores informáticos de la RPDC tienen actualmente importantes saldos de USDC en varias direcciones.
Los trabajadores suelen ejecutar varias funciones simultáneamente y tienden a ser despedidos por bajo rendimiento, lo que provoca una elevada rotación.
Una vez que han descubierto cómo penetrar en los equipos y reclamar la propiedad de los contratos, los proyectos son vulnerables a los ataques de seguridad y a los posibles exploits contra la infraestructura de los protocolos.
La amenaza salpica a las criptomonedas con 2.100 millones de dólares en robos
ZachXBT también observó que los trabajadores informáticos norcoreanos tienen cada vez más cuentas en bolsas estadounidenses como Coinbase y Robinhood, lo que refuta la presunción de que las bolsas nacionales tienen condiciones KYC/AML más estrictas que las externas.
El MEXC sigue siendo muy utilizado por el personal informático en el blanqueo de dinero en cadena a través de una cadena de operaciones con criptomonedas.
El uso de Binance por parte del personal informático ha disminuido drásticamente con respecto a años anteriores debido a la mejora de los sistemas de detección y a la colaboración entre instituciones privadas y organismos gubernamentales que conducen a la confiscación de activos.
La llegada de neobancos y plataformas fintech que admiten integraciones de stablecoin ha facilitado al personal informático de la RPDC la conversión de fiat en criptomoneda.
ZachXBT también afirma que los proyectos de criptomonedas no cuentan con el mayor número de personal informático norcoreano, y que las empresas tecnológicas más convencionales tienen problemas de intrusión igual o incluso más graves.
Los pagos criptográficos dejan una trazabilidad en la cadena que permite a los investigadores rastrear el dinero hasta las empresas de contratación, pero los pagos fiat en empresas normales no tienen esta visibilidad.
Grupos de piratas informáticos asociados a Corea del Norte, como Lazarus Group, robaron unos 2.100 millones de dólares en criptomoneda durante el primer semestre de 2025.
El caso de mayor impacto fue el atraco a la bolsa de criptomonedas Bybit, de 1.500 millones de dólares, en febrero de 2025, en el que 1.600 millones de dólares del total de robos de criptomonedas fueron realizados por atacantes vinculados a Corea del Norte.
El autor cree que los grupos que emplean a mucho personal informático de la RPDC siempre indican un fracaso de la puesta en marcha debido a la ausencia de sofisticación de las amenazas y a la falta de atención a la contratación.
