Dentro del robo de Cripto de $900K: Cómo los agentes norcoreanos se infiltraron en las firmas de Cadena de bloques sin ser detectados

Conclusiones clave:

• Cuatro operativos norcoreanos se hicieron pasar por trabajadores de TI remotos para acceder y robar más de $900,000 en criptomonedas.
• Infiltraron empresas de blockchain en EE.UU. y Serbia utilizando identidades robadas y documentos falsificados.
• Los fondos fueron blanqueados a través de mezcladores y cuentas falsas, con los investigadores vinculando la operación a los esfuerzos de DPRK para financiar sus programas de armas.

Cuatro ciudadanos norcoreanos han sido acusados por fiscales federales de participar en un robo de divisas que sustrajo casi $1 millón en criptomonedas de dos empresas de criptomonedas en una compleja serie de ataques en línea. Los fiscales dicen que los acusados aprovecharon el crecimiento del trabajo remoto y el desarrollo de criptomonedas para eludir sanciones y canalizar activos digitales al gobierno norcoreano.

El trabajo remoto como una puerta trasera hacia las empresas de blockchain

La acusación, presentada en el Distrito Norte de Georgia el 30 de junio de 2025, detalla un fraude que se extendió desde al menos 2019 hasta algún momento en 2022, con múltiples robos de criptomonedas en ese período. Los acusados—Kim Kwang Jin, Kang Tae Bok, Jong Pong Ju y Chang Nam Il—utilizaron identidades falsas y robadas para asegurar empleos como desarrolladores en empresas de blockchain ubicadas en los EE. UU. y Serbia.

Los registros judiciales revelan que Kim y Jong fueron contratados como desarrolladores por una empresa de I+D de blockchain con sede en Georgia y una firma de tokens virtuales con sede en Serbia, respectivamente. Se postularon bajo perfiles fabricados que incluían documentación fraudulenta, mezclando detalles de identidad reales y robados. Ninguna de las empresas estaba al tanto de la verdadera nacionalidad norcoreana de los solicitantes en el momento de la contratación.

La operación, según informes, comenzó con el grupo trabajando juntos en los Emiratos Árabes Unidos en 2019, donde primero coordinaron sus habilidades y planearon cómo atacar plataformas de criptomonedas en el extranjero.

Robo Coordinado y Lavado de Activos Digitales

Explotación de contratos inteligentes y acceso no autorizado

Una vez dentro de esos trabajos, los agentes tenían acceso a sistemas internos sensibles y a las billeteras de criptomonedas de la empresa. Jong Pong Ju, también conocido como “Bryan Cho,” había sacado aproximadamente $175,000 en moneda digital de la cuenta bancaria de su empleador en febrero de 2022. Un mes después, Kim Kwang Jin se aprovechó de las fallas en el código del contrato inteligente de la empresa, llevándose casi $740,000 en activos criptográficos.

Los fiscales dijeron que ambos robos fueron premeditados y utilizaron modificaciones de código y permisos internos para oscurecer las transacciones no autorizadas. El dinero robado fue blanqueado a través de un servicio de mezcla de moneda digital para ocultar su origen, después de lo cual fue transferido a cuentas de intercambio abiertas con documentos de identidad malayos falsificados.

Estas cuentas de intercambio fueron gestionadas por Kang Tae Bok y Chang Nam Il, otros co-conspiradores que también lavaron las ganancias del dinero robado. Los cuatro fueron nombrados en una acusación de cinco cargos, incluyendo fraude electrónico y cargos de lavado de dinero.

Las autoridades de EE. UU. advierten sobre las tácticas cibernéticas en expansión de Corea del Norte

El fiscal de EE. UU. Theodore S. Hertzberg enfatizó que el caso refleja una amenaza creciente y calculada de la República Popular Democrática de Corea (DPRK), que utiliza operativos de TI a nivel global para eludir sanciones y recaudar fondos para programas estatales, incluyendo el desarrollo de armas nucleares.

“Estos individuos enmascararon sus verdaderas identidades, explotaron la confianza de los empleadores y robaron casi un millón de dólares, todo para apoyar a un régimen autoritario”, dijo Hertzberg. “Continuaremos persiguiendo a cualquier actor, nacional o extranjero, que ataque a las empresas de EE. UU.”

La división de Atlanta del FBI, que lideró la investigación, hizo eco de estas preocupaciones. El agente especial a cargo, Paul Brown, dijo que el uso de identidades fraudulentas por parte de la RPDC para violar empresas de blockchain destaca la intersección distinta entre la ciberseguridad, la seguridad nacional y el crimen financiero.

Un Patrón de Evasión de Sanciones Impulsado por Cripto

Este caso no es aislado. Es parte de un patrón más amplio de operativos de Corea del Norte que utilizan infraestructura cripto para explotar los controles internacionales. En el frente de habilitación del DOJ en el fuego cruzado, el DOJ está involucrado en el esfuerzo de relaciones públicas conocido como DPRK RevGen: Iniciativa de Habilitación Nacional, una ofensiva lanzada en marzo de 2024 por la División de Seguridad Nacional del DOJ, la iniciativa para terminar con estos caminos de lavado de dinero basados en criptomonedas en el extranjero y en EE. UU.

Las autoridades dijeron que la estafa era parte de un esfuerzo más amplio para formar "redes de generación de ingresos" que, en última instancia, contribuyen al presupuesto estratégico de Corea del Norte. Esto incluye ciberataques de alto perfil, implementaciones de ransomware y ahora—infiltración directa en equipos corporativos a través del empleo remoto.

Andrew Fierman, jefe de seguridad nacional en la firma de análisis forense de blockchain Chainalysis, comentó que los actores de la RPDC se están incrustando cada vez más dentro de las empresas objetivo:

"Reúnen conocimiento interno, manipulan sistemas desde dentro e incluso orquestan filtraciones internas."

Este modelo de insider hace que la detección sea más difícil, especialmente cuando se combina con técnicas avanzadas de blanqueo como la mezcla de tokens y el uso de protocolos de finanzas descentralizadas (DeFi) para superponer transacciones.

Leer más: El fundador de Manta Network evita el hackeo de Zoom del Grupo Lazarus utilizando tácticas de deepfake y malware

La industria cripto enfrenta un renovado escrutinio

El incidente plantea algunas preguntas difíciles para la industria de las criptomonedas, en particular sobre la verificación de identidad, la contratación remota y el control de acceso. Aunque las empresas basadas en blockchain valoran la descentralización y la contratación de personal talentoso en todo el mundo, la desventaja es la mayor exposición a fraudes sofisticados.

Los fondos robados, que en ese momento tenían un valor aproximado de $915,000, todavía están siendo rastreados a través de los intercambios, según fuentes familiarizadas con la investigación. El DOJ y el FBI están colaborando con la policía internacional y empresas privadas de análisis de blockchain para recuperar los activos.

Leer más: ZachXBT identifica al Grupo Lazarus como los hackers de Bybit por $1.4B, gana la recompensa de Arkham