Los investigadores de Chainalysis señalaron que los atacantes ahora están cambiando su enfoque tradicional. En lugar de simplemente solicitar empleos, están suplantando a los reclutadores y llevando a cabo procesos de contratación falsos diseñados para robar credenciales, código fuente y acceso VPN de los empleadores actuales de las víctimas. A niveles más altos, se hacen pasar por inversores estratégicos o adquirentes de empresas, utilizando reuniones de presentación y debida diligencia falsa para recopilar información confidencial del sistema y encontrar formas de acceder a una infraestructura valiosa. 

 El ataque a Bybit exchange en febrero de 2025 por sí solo representó $1.5 mil millones, lo que marca uno de los mayores robos de criptomonedas de la historia. Este incidente demuestra perfectamente cómo los grupos norcoreanos están pasando de muchos ataques pequeños a menos, pero mucho más dañinos. La relación entre los mayores ataques e incidentes típicos ahora ha superado las 1,000 veces por primera vez.

 

Operaciones de lavado sofisticadas y patrones de detección

Después de robar fondos, los hackers norcoreanos siguen un ciclo claro de lavado de 45 días que los equipos de seguridad pueden rastrear. El proceso ocurre en tres olas distintas. Durante los primeros cinco días, mueven inmediatamente los fondos robados a través de protocolos DeFi, que experimentan un aumento del 370% en la actividad, y servicios de mezcla que aumentan un 135%. Esto crea la primera capa de confusión para los investigadores que intentan rastrear el dinero. Entre los días seis y diez, la estrategia cambia. Comienzan a utilizar intercambios con verificaciones de identidad limitadas y puentes entre cadenas para mover activos entre diferentes blockchains. Los intercambios centralizados reciben un 32% más de fondos durante este período, mientras que los servicios de mezcla continúan operando a una intensidad reducida. Esto representa la transición crítica donde los fondos robados comienzan a moverse hacia posibles puntos de cobro.

 La fase final, de los días 20 a 45, se centra en convertir la criptomoneda en dinero real. Los intercambios sin KYC experimentan aumentos del 82%, mientras que los servicios de garantía en chino, como Tudou Danbao, experimentan aumentos del 87%. Los analistas de Chainalysis identificaron que los grupos norcoreanos muestran una fuerte preferencia por los servicios de lavado de dinero en chino, con tasas de uso hasta un 1,753% más altas que otros ciberdelincuentes. También estructuran sus pagos de manera diferente, manteniendo el 60% de las transferencias por debajo de los $500,000 para evitar la detección, mientras que otros hackers prefieren transacciones más grandes entre $1 millón y $10 millones. Este patrón distintivo revela límites operativos que enfrentan los actores norcoreanos. Su fuerte dependencia de los servicios específicos en chino y los operadores extrabursátiles sugiere una estrecha integración con las redes criminales en toda la región de Asia-Pacífico. Estas preferencias consistentes brindan a las fuerzas del orden y a los equipos de seguridad oportunidades claras de detección para identificar y potencialmente interceptar los fondos robados antes de que desaparezcan por completo en el sistema financiero global.

Fuentes:
https://cybersecuritynews.com/north-korean-hackers-make-history/