Dentro de la Máquina Cripto de Corea del Norte: La Última Investigación de ZachXBT

Dentro de la Máquina Cripto de Corea del Norte: La Última Investigación de ZachXBT

ZachXBT expuso una red de trabajadores de TI norcoreanos que drenaba criptomonedas por $1 millón mensualmente mediante identidades falsas y una plataforma de pago oculta.

El investigador de blockchain ZachXBT ha publicado uno de sus informes más detallados hasta la fecha, y revela cómo los trabajadores de TI norcoreanos están despojando a la industria cripto de millones cada mes.


Una fuente anónima entregó a ZachXBT datos exfiltrados de un servidor de pagos interno norcoreano. El conjunto de datos contenía 390 cuentas, registros de chat privados y registros de transacciones de criptomonedas que abarcaban desde diciembre de 2025 hasta abril de 2026. Nada de esto se había hecho público. Lo que ZachXBT encontró fue un esquema totalmente operativo y organizado que generaba aproximadamente $1 millón por mes a través de identidades fraudulentas, documentos legales falsificados y una red hermética de conversión de cripto a fiat.


En el centro de la operación se encontraba un sitio llamado luckyguys[.]site, una plataforma interna de remesas utilizada por los trabajadores de TI de la RPDC para informar los pagos a sus coordinadores. Piénsalo como un mensajero privado diseñado específicamente para canalizar dinero. La contraseña predeterminada de la plataforma era 123456. Diez usuarios nunca la habían cambiado. La lista de usuarios incluía nombres coreanos reales, ubicaciones de ciudades, nombres de grupos codificados y roles asignados. Tres de las empresas que aparecieron en los datos están actualmente sancionadas por la OFAC: Sobaeksu, Saenal y Songkwang.


Desde finales de noviembre de 2025, más de $3.5 millones pasaron por las direcciones de billetera de pago vinculadas a esta red. El método era consistente entre los usuarios. Los trabajadores recibían criptomonedas de un exchange o servicio, o convertían sus ganancias a fiat a través de cuentas bancarias chinas mediante plataformas como Payoneer. Una cuenta de administrador central identificada solo como PC-1234 confirmaba la recepción y distribuía las credenciales para cualquier exchange o plataforma fintech que se estuviera utilizando en ese ciclo. Una dirección de pago de Tron fue congelada por Tether en diciembre de 2025, lo que significa que alguien ya sabía lo que estaba sucediendo. Esto no detuvo la red.


Un trabajador, identificado como "Jerry", fue descubierto solicitando empleos remotos bajo personas falsas mientras estaba conectado a través de Astrill VPN. Mensajes internos mostraron a los trabajadores discutiendo un artículo de noticias sobre un trabajador de TI de la RPDC atrapado usando tecnología deepfake durante una entrevista de trabajo, preguntándose nerviosamente si era uno de ellos. Treinta y tres trabajadores fueron encontrados comunicándose en la misma red. Esta no era una pequeña célula aislada. Era una fuerza laboral, con estructura, disciplina y una cadena de mando muy clara.


Entre noviembre de 2025 y febrero de 2026, el administrador de la red distribuyó 43 módulos de capacitación centrados en Hex-Rays e IDA Pro —herramientas profesionales utilizadas para ingeniería inversa y análisis binario. Los materiales cubrían el desensamblaje, la descompilación, la depuración y el desempaquetado de ejecutables hostiles. Estas no son las herramientas de una operación de estafa básica. Son las herramientas de personas que se preparan para causar daños graves.


ZachXBT es cuidadoso al señalar que este grupo se encuentra por debajo de los grupos de amenazas norcoreanas más peligrosos como AppleJeus y TraderTraitor, responsables de algunos de los mayores robos de criptomonedas registrados. Este grupo está en un nivel inferior. Pero inferior no significa inofensivo. ZachXBT ha estimado previamente que los trabajadores de TI de la RPDC generan colectivamente múltiples cifras de siete dígitos al mes en toda la industria, y esta investigación respalda ese número con pruebas. El sitio de pago interno se desconectó poco después de la publicación de ZachXBT. Todos los datos ya habían sido archivados.

La industria responde

El informe de ZachXBT no pasó desapercibido. Llegó en medio de una semana en la que la industria ya estaba lidiando con la escala de la presencia de Corea del Norte dentro de los equipos cripto. Días antes del informe, la investigadora de seguridad de MetaMask, Taylor Monahan, afirmó que más de 40 plataformas DeFi habían empleado sin saberlo a desarrolladores norcoreanos patrocinados por el estado, algunos desde el verano DeFi de 2020. "Muchos trabajadores de TI de la RPDC construyeron los protocolos que conoces y amas", escribió en X, añadiendo que muchos de estos trabajadores tenían experiencia genuina en blockchain, lo que los hacía excepcionalmente difíciles de identificar.


El propio ZachXBT, cuando se le preguntó sobre la sofisticación de estas tácticas, fue directo. "Las amenazas a través de ofertas de trabajo, LinkedIn, correo electrónico, Zoom o entrevistas son básicas y de ninguna manera sofisticadas", dijo. "Lo único es que son implacables".


La reacción de la comunidad en general fue mixta. Muchos señalaron la negligencia en la contratación por parte de equipos que se ponen a la defensiva cuando se les alerta sobre posibles amenazas de seguridad. Otros señalaron las cifras: en 2025, grupos vinculados a la RPDC robaron al menos $2.02 mil millones en criptomonedas —el 60% del robo global de ese año— incluyendo un hackeo de Bybit de $1.5 mil millones. Esta última investigación no es un incidente aislado. Es una pieza visible de una operación mucho más grande.


Lo que esta investigación deja claro es que la operación cripto de Corea del Norte no es una colección de freelancers deshonestos. Es una empresa estructurada y jerárquica con coordinadores, administradores, trabajadores capacitados y una infraestructura de pagos que ha estado funcionando durante meses sin interrupción. Para cualquier proyecto cripto, exchange o DAO que contrate colaboradores remotos, este no es un problema distante. Estos trabajadores están solicitando empleos ahora mismo, con currículos pulidos y rostros que pueden no ser los suyos. La verificación nunca ha importado tanto.


La blockchain es transparente. Estas redes cuentan con que la industria no preste atención.


Todas las opiniones expresadas son opiniones personales del autor y no constituyen asesoramiento de inversión.

Últimos artículos

Índice de miedo y codicia

Trade
31
Miedo
¿Cuál cree usted que es el sentimiento actual del mercado?
+78.57%+21.42%
SpotFuturos
Sin datos