Un pequeño equipo de trabajadores de TI norcoreanos, vinculado a un hackeo de criptomonedas de 680.000 dólares en junio, ha estado utilizando productos de Google e incluso alquilando ordenadores para infiltrarse en proyectos de criptomonedas, según capturas de pantalla recientemente filtradas provenientes de uno de los dispositivos de los trabajadores. 

En una publicación de X de ZachXBT el miércoles, el investigador de criptomonedas compartió un bizarro vistazo al modus operandi de un hacker norcoreano (RPDC). La información provino de “una fuente anónima” que logró comprometer uno de sus dispositivos. 

Trabajadores vinculados a Corea del Norte fueron responsables de la vulneración de 1.400 millones de dólares del exchange de criptomonedas Bitbit en febrero y han desviado millones de dólares de protocolos de criptomonedas a lo largo de los años.

Datos muestran que el pequeño equipo de seis trabajadores de TI norcoreanos comparte al menos 31 identidades falsas, obteniendo desde identificaciones gubernamentales y números de teléfono hasta la compra de cuentas de LinkedIn y UpWork para enmascarar sus verdaderas identidades y conseguir trabajos en el ámbito de las criptomonedas. 

Uno de los trabajadores supuestamente fue entrevistado para un puesto de ingeniero full-stack en Polygon Labs, mientras que otra evidencia mostró respuestas de entrevista guionizadas en las que afirmaban tener experiencia en el marketplace de NFT OpenSea y el proveedor de oráculos de la blockchain Chainlink.

Lista falsa de identidades involucradas en la operación de estafa de TI norcoreana. Fuente: ZachXBT

Google y software de trabajo remoto

Los documentos filtrados muestran que los trabajadores de TI norcoreanos obtuvieron roles de "desarrollador de blockchain" e "ingeniero de contratos inteligentes" en plataformas de trabajo freelance como Upwork, y luego utilizan software de acceso remoto como AnyDesk para realizar el trabajo para empleadores desprevenidos. También utilizan VPN para ocultar su ubicación real.

Las exportaciones de Google Drive y los perfiles de Chrome muestran que utilizaron herramientas de Google para gestionar horarios, tareas y presupuestos, comunicándose principalmente en inglés mientras utilizaban el traductor de Google para pasar mensajes en coreano a inglés.

Una hoja de cálculo muestra que los trabajadores de TI gastaron un total de 1.489,8 dólares en gastos en mayo para llevar a cabo sus operaciones.

Notas/preparación de entrevista, probablemente destinadas a ser consultadas durante reuniones de trabajo. Fuente: ZachXBT

Trabajadores de TI norcoreanos vinculados al reciente hackeo de criptomonedas de 680.000 dólares 

Los norcoreanos a menudo utilizan Payoneer para convertir fiat en criptomonedas para su trabajo, y una de esas direcciones de billetera, "0x78e1a", está "estrechamente vinculada" al hackeo de 680.000 dólares del mercado de fan-tokens, Favrr, en junio de 2025, según ZachXBT.

En ese momento, ZachXBT alegó que el director de tecnología del proyecto, conocido como "Alex Hong", junto con otros desarrolladores, eran en realidad trabajadores de la RPDC encubiertos. 

Fuente: ZachXBT

La evidencia también ofrece información sobre sus áreas de interés. Una búsqueda preguntaba si los tokens ERC-20 pueden ser movidos en Solana, mientras que otra buscaba información sobre las principales empresas de desarrollo de IA en Europa.

Las empresas de criptomonedas deben realizar más debida diligencia

ZachXBT instó a las empresas de criptomonedas y tecnología a realizar una investigación más exhaustiva sobre los posibles contratados, señalando que muchas de estas operaciones no son muy sofisticadas, pero el volumen de solicitudes a menudo lleva a que los equipos de contratación se vuelvan negligentes.

Añadió que la falta de colaboración entre las empresas de tecnología y las plataformas de trabajo freelance contribuye aún más al problema.

El mes pasado, el Tesoro de Estados Unidos tomó cartas en el asunto, sancionando a dos personas y cuatro entidades involucradas en una red de trabajadores de TI dirigida por Corea del Norte que se infiltraban en empresas de criptomonedas.

Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.