El investigador de blockchain ZachXBT ha descubierto lo que afirma ser una red de trabajadores de TI vinculada a Corea del Norte que genera aproximadamente $1 millón al mes a través de pagos relacionados con criptomonedas y esquemas de empleo fraudulentos.
En un hilo detallado en X, el detective on-chain dijo que los hallazgos provienen de datos exfiltrados de un servidor de pagos interno vinculado a 390 cuentas.
La caché de datos también incluye registros de chat, actividad de monederos y registros de identidad que no se habían hecho públicos anteriormente, dijo el detective de criptomonedas.
Según el análisis de ZachXBT, lo que parece ser una operación estructurada que se basa en personas falsificadas, documentos falsos y un flujo de pagos bien coordinado ha recaudado más de $3.5 millones desde el pasado noviembre.
Una plataforma de remesas interna que se asemeja a un servicio de mensajería está en el centro del sistema, dijo. Los trabajadores utilizan la herramienta para informar sus ganancias y recibir instrucciones de pago de una cuenta de administrador central.
Luego, los fondos se solían enrutar a través de transacciones de criptomonedas antes de ser convertidos a moneda fiduciaria utilizando cuentas bancarias chinas o plataformas como Payoneer.
ZachXBT vinculó varias direcciones de pago a grupos conocidos asociados con la actividad de trabajadores de TI norcoreanos. Una dirección de Tron conectada a la red fue congelada por Tether en diciembre, dijo.
Además, los datos revelaron detalles operativos como VPNs para enmascarar ubicaciones, solicitudes de empleo presentadas bajo identidades falsas e incluso comunicaciones internas entre al menos docenas de trabajadores.
En un caso, un dispositivo comprometido mostró discusiones sobre el objetivo de un proyecto de juegos cripto. No está claro si el ataque se ejecutó.
Cabe destacar que el grupo parecía menos sofisticado que las operaciones de alto perfil vinculadas a la RPDC como Lazarus.
Sin embargo, ZachXBT dijo que el perfil de ingresos se alinea con estimaciones previas de que los esquemas de trabajadores de TI norcoreanos generan cifras de siete dígitos múltiples por mes.
Los hallazgos se suman a una tendencia más amplia de actividad vinculada a Corea del Norte en cripto y el ciberespacio, diversificándose más allá de los hacks de alto perfil hacia redes laborales, de fraude y de pago.
En las últimas semanas, un proyecto basado en Solana conocido como Stabble instó a los proveedores de liquidez a retirar fondos después de identificar a un exempleado norcoreano. El protocolo Drift también vinculó una explotación de $280 millones a una campaña de ingeniería social de meses de duración atribuida a presuntos actores de la RPDC.
Mientras tanto, las autoridades estadounidenses también han sancionado a facilitadores conectados a un esquema vinculado a criptomonedas de $800 millones, lo que subraya la escala de actividad vinculada a las operaciones cibernéticas del país.
Descargo de responsabilidad: The Block es un medio de comunicación independiente que ofrece noticias, investigación y datos. A partir de noviembre de 2023, Foresight Ventures es un inversor mayoritario de The Block. Foresight Ventures invierte en otras empresas en el espacio cripto. El exchange de criptomonedas Bitget es un LP ancla para Foresight Ventures. The Block continúa operando de forma independiente para ofrecer información objetiva, impactante y oportuna sobre la industria cripto. Aquí están nuestras divulgaciones financieras actuales.
© 2026 The Block. Todos los derechos reservados. Este artículo se proporciona únicamente con fines informativos. No se ofrece ni pretende ser utilizado como asesoramiento legal, fiscal, de inversión, financiero o de otro tipo.
