Cómo los hackers freelance de Corea del Norte construyeron una red de robo de criptomonedas por valor de $680,000

Una investigación reciente ha revelado una operación alarmante: una pequeña unidad de operativos informáticos norcoreanos mantenía al menos 31 identidades fraudulentas para infiltrarse en plataformas de criptomonedas y realizar robos a gran escala. El incidente documentado más grande implicó el robo de $680,000 en el mercado de tokens de fans Favrr en junio de 2025.

La Estrategia de Infiltración: Construcción de Perfiles de Freelance Creíbles

La inteligencia recopilada de un dispositivo comprometido revela cómo estos hackers freelance norcoreanos se establecieron en la industria cripto. El grupo creó identidades encubiertas elaboradas, reuniendo documentación completa que incluía IDs gubernamentales falsificados y números de teléfono. Para parecer legítimos en plataformas de empleo, compraron cuentas establecidas en LinkedIn y Upwork, aprovechando la credibilidad de usuarios anteriores.

Las posiciones de ingeniero en blockchain y desarrollo de contratos inteligentes se convirtieron en sus objetivos principales. La evidencia sugiere que una persona solicitó un puesto de ingeniero full-stack en Polygon Labs, mientras que las transcripciones de entrevistas muestran afirmaciones de empleo previo en entidades cripto notables como OpenSea y Chainlink. Estas credenciales fabricadas los colocaron con éxito en organizaciones de criptomonedas sin sospechas.

Infraestructura Operativa: Acceso Remoto y Ocultación Digital

Una vez integrados en proyectos cripto, los hackers freelance utilizaron software sofisticado de acceso remoto, incluyendo AnyDesk, para realizar su trabajo manteniendo distancia física de los empleadores. La tecnología VPN enmascaraba su ubicación geográfica, creando la ilusión de trabajadores remotos legítimos de otras regiones.

El conjunto de herramientas de Google se convirtió en central para sus operaciones. Datos filtrados revelan que gestionaban cronogramas de proyectos, asignaciones de tareas y presupuestos a través de Google Drive. Las exportaciones de perfiles de Chrome muestran una fuerte dependencia de los servicios de traducción de Google para mantener la comunicación en inglés mientras operaban desde una región de habla no inglesa. Los registros financieros documentan $1,489.8 en gastos operativos solo en mayo.

De Empleo a Explotación: La Brecha de Favrr de $680,000

La investigación identificó conexiones directas entre esta infraestructura y un robo específico en cripto. La dirección de wallet 0x78e1a mostró patrones consistentes con fondos que fluyen desde el hack de Favrr en junio. La evidencia en la blockchain conecta a individuos que se presentan como “Alex Hong” y otros desarrolladores, todos parte de la misma operación coordinada norcoreana. Este equipo ya había atacado anteriormente la plataforma de intercambio de criptomonedas Bitbit en febrero, orquestando un robo de $1.4 mil millones que impactó a la industria.

Por casualidad, su historial de búsquedas reveló recopilación de inteligencia sobre infraestructura cripto más amplia—consultas sobre desplegar tokens ERC-20 en Solana y investigaciones sobre empresas europeas de desarrollo de IA sugieren intereses de objetivos ampliados más allá de los incidentes iniciales.

El Riesgo General: Por qué las Empresas Cripto Siguen siendo Vulnerables

Los investigadores de seguridad enfatizan que estos hackers freelance explotaron una debilidad fundamental en los procesos de contratación. A pesar de la relativa sencillez de la metodología de infiltración, las empresas de criptomonedas fallan constantemente en implementar una diligencia debida adecuada. El volumen de solicitudes para puestos de desarrollo genera fatiga en los equipos de contratación, lo que conduce a una evaluación comprometida.

La fragmentación entre las empresas cripto y las plataformas de freelance amplifica el problema. Ninguno de los ecosistemas mantiene sistemas robustos de verificación cruzada, dejando brechas que actores determinados pueden explotar. Las sanciones del Tesoro de EE. UU. contra dos individuos y cuatro entidades involucradas en redes de trabajadores informáticos norcoreanos demuestran la conciencia gubernamental sobre la amenaza, pero la adopción de medidas de seguridad correspondientes en el sector privado sigue siendo inconsistente.

La lección es clara: verificación exhaustiva de antecedentes, intercambio de inteligencia entre plataformas y escepticismo hacia perfiles de candidatos con inconsistencias geográficas son defensas necesarias contra intentos de infiltración coordinados por hackers freelance patrocinados por estados que apuntan al sector de las criptomonedas.