Arturo TrenardExponen red norcoreana que generaba $1 millón mensual con trabajos IT falsos y hackeos cripto
Datos filtrados a ZachXBT revelan las tácticas de un grupo de 140 personas para evadir sanciones y financiar al régimen, con ingresos de $3.5 millones en pocos meses.
Un grupo de aproximadamente 140 trabajadores de tecnología norcoreanos generó más de 3.5 millones de dólares en criptomonedas en los últimos meses mediante la suplantación de identidad para conseguir empleos remotos como desarrolladores, al tiempo que intentaba hackear proyectos del ecosistema. La operación, que movía cerca de un millón de dólares mensuales, fue expuesta tras la filtración de datos obtenidos por un hacker y compartida por el investigador de blockchain ZachXBT.
La información, que cubre actividad desde al menos finales de noviembre de 2025, detalla una campaña coordinada para infiltrar el mercado laboral global de tecnología y desviar fondos hacia el régimen de Corea del Norte, eludiendo las sanciones económicas internacionales.
La Operación Expuesta: Tácticas e Ingresos
Los datos, procedentes de un dispositivo comprometido de uno de los trabajadores, muestran un método sistemático de infiltración. Los individuos, utilizando identidades falsas y conexiones VPN como Astrill, se postulaban a empleos de desarrollador full-stack o ingeniero de software en plataformas como Indeed.
Un caso concreto, atribuido a un trabajador identificado como “Jerry”, muestra su aplicación a un puesto de especialista en WordPress y SEO para una empresa de Texas, Estados Unidos, donde solicitaba una tarifa de 30 dólares por hora. La falsificación de documentos era una práctica común: otro miembro, bajo el alias “Rascal”, compartió imágenes de un extracto bancario con un nombre y una dirección falsos en Hong Kong, así como un pasaporte irlandés fraudulento.
Coordinación y flujo de fondos
La coordinación de pagos se centralizaba en el sitio web `luckyguys.site`, protegido con la contraseña notablemente débil “123456”. En esta plataforma, algunos usuarios parecen estar vinculados a entidades norcoreanas sancionadas por Estados Unidos, como Sobaeksu, Saenal y Songkwang.
Según los documentos analizados por ZachXBT, las ganancias en criptomonedas obtenidas de los trabajos remotos se convertían posteriormente a moneda fiduciaria y se enviaban a cuentas bancarias en China a través de servicios como Payoneer, completando así el circuito de lavado de fondos.
La “Tabla de Clasificación” y el volumen financiero
Entre la información filtrada se encuentra una “tabla de clasificación” interna que detallaba las contribuciones en cripto de cada trabajador desde el 8 de diciembre. Los datos revelan que el grupo generó ingresos totales de aproximadamente 3.5 millones de dólares desde finales de noviembre, manteniendo una tasa mensual cercana al millón de dólares.
El análisis de las direcciones de cartera utilizadas mostró vínculos con otras carteras norcoreanas conocidas, lo que llevó a la empresa Tether a incluir esas direcciones en su lista negra en diciembre de 2025.
Contexto: La Amenaza Norcoreana a la Industria Cripto
Esta operación se enmarca dentro de los persistentes esfuerzos del estado norcoreano para generar ingresos externos y evadir el aislamiento financiero internacional. Según estimaciones citadas en el reporte, trabajadores respaldados por el régimen han robado más de 7 mil millones de dólares desde 2009, una parte significativa proveniente de ataques a proyectos de criptomonedas.
Algunos de los hackeos más notorios atribuidos a Corea del Norte incluyen el ataque a Bybit (1.4 mil millones de dólares), la explotación del puente Ronin (625 millones de dólares) y, más recientemente, el ataque a Drift Protocol en abril de 2026, con pérdidas estimadas en 280 millones de dólares.
Evaluación de la sofisticación del grupo
Estos trabajadores de TI eran “menos sofisticados” en comparación con otros grupos norcoreanos de élite como AppleJeus y TraderTraitor, que, según el investigador, “operan de manera mucho más eficiente y presentan los mayores riesgos para la industria”.
La conclusión del reporte subraya que, a pesar de cometer fallas de seguridad básicas como el uso de contraseñas débiles, este grupo demostró ser efectivo en la generación de ingresos a escala, lo que destaca la persistencia, adaptabilidad y el carácter estatal de la amenaza que Corea del Norte representa para la seguridad de la industria cripto y el mercado laboral tecnológico global.
