Operadores vinculados a Corea del Norte han pasado años integrándose discretamente en empresas de cripto y equipos DeFi, generando nuevas preocupaciones sobre el riesgo interno tras una serie de exploits de alto valor vinculados al aparato cibernético del país.
Taylor Monahan, investigadora de seguridad y desarrolladora de MetaMask, afirmó que estas tácticas se remontan a los primeros días de las finanzas descentralizadas, con individuos vinculados a la República Popular Democrática de Corea contribuyendo a varios protocolos ampliamente utilizados.
“Muchos trabajadores de TI de la RPDC construyeron los protocolos que conoces y amas, desde el verano DeFi”, dijo el domingo, añadiendo que más de 40 plataformas, incluidos varios proyectos conocidos, en algún momento han dependido de dichos desarrolladores.
Sin embargo, señaló que los “siete años de experiencia como desarrollador blockchain” enumerados en sus currículums “no son una mentira.”
Los investigadores han vinculado durante mucho tiempo las operaciones cibernéticas de Corea del Norte al Grupo Lazarus, un colectivo respaldado por el estado que se cree que ha robado alrededor de $7 mil millones en activos digitales desde 2017, según analistas de R3ACH.
El grupo ha sido asociado con algunas de las mayores brechas de seguridad de la industria, incluyendo el exploit del Ronin Bridge de $625 millones en 2022, el hack de WazirX de $235 millones en 2024, y el incidente de Bybit de $1.4 mil millones en 2025.
El exploit de $280 millones del Protocolo Drift de la semana pasada ha provocado un renovado escrutinio. El proyecto afirmó tener una “confianza media-alta” en que un grupo afiliado al estado norcoreano estuvo detrás del ataque, vinculando el incidente a un patrón más amplio de infiltración e ingeniería social.
Sin embargo, las reuniones presenciales que precedieron a la brecha no fueron con ciudadanos norcoreanos, sino con “intermediarios de terceros” que utilizaban “identidades completamente construidas, incluyendo historiales laborales, credenciales públicas y redes profesionales.”
Estos perfiles incluían historiales laborales, credenciales públicas y redes profesionales activas, permitiéndoles generar confianza a través de interacciones en persona antes de que se produjera el exploit.
El investigador blockchain independiente ZachXBT ha advertido en una publicación reciente en X que no todas las amenazas vinculadas a Corea del Norte operan con el mismo nivel de sofisticación.
“El problema principal es que todo el mundo los agrupa a todos juntos cuando la complejidad de las amenazas es diferente”, dijo.
Describió muchos intentos de infiltración como relativamente simples, basándose en la persistencia más que en la complejidad técnica. La captación a través de ofertas de empleo, LinkedIn, correo electrónico, llamadas de Zoom y procesos de entrevista sigue siendo común.
“Básicos y en absoluto sofisticados […] lo único es que son implacables”, dijo, añadiendo que los equipos que sigan cayendo en estas tácticas en 2026 corren el riesgo de ser considerados negligentes.
