Aquí está cómo los hackers norcoreanos todavía están siendo pagados en criptomonedas a pesar de las sanciones

TRM Labs dice que los trabajadores de TI de Corea del Norte han blanqueado millones en USDC y USDT mientras trabajaban en secreto para startups de blockchain.

Corea del Norte sigue dependiendo de las criptomonedas para financiar en silencio sus programas de armamento y el gobierno de EE. UU. está intensificando los esfuerzos para cerrarlo. El 8 de julio, la Oficina de Control de Activos Extranjeros del Tesoro de EE. UU. sancionó a un hacker norcoreano, Song Kum Hyok, quien, según dicen, ayudó a organizar un esquema generalizado que involucraba falsos trabajadores remotos en empresas tecnológicas y de criptomonedas desprevenidas.

Según un informe reciente de la firma de análisis forense de blockchain TRM Labs, Song estaba vinculado a Andariel, una unidad de ciberdelincuencia que forma parte de la inteligencia militar de Corea del Norte. Explicaron que él desempeñó un papel clave en la colocación de trabajadores de TI, la mayoría de los cuales eran en realidad operativos norcoreanos, en empleos en empresas de EE. UU. utilizando identidades estadounidenses robadas y documentos falsos.

Muchos de estos trabajos estaban en web3, infraestructura de cripto o desarrollo de software relacionado con blockchain.

TRM Labs dijo que estos trabajadores operaban desde países como China y Rusia mientras pretendían ser freelancers con sede en EE. UU. Recibieron pagos en stablecoins como USD Coin (USDC) y Tether (USDT). A partir de ahí, el dinero parecía haber fluido a través de capas de billeteras, mezcladores y servicios de conversión antes de terminar en manos del régimen norcoreano.

“El Tesoro sigue comprometido a utilizar todas las herramientas disponibles para interrumpir los esfuerzos del régimen de Kim para eludir las sanciones a través del robo de activos digitales, el intento de suplantación de estadounidenses y los ataques cibernéticos maliciosos.”

Subsecretario del Tesoro, Michael Faulkender

Los analistas de TRM Labs señalaron que este es solo el último signo de que la Oficina General de Reconocimiento de Corea del Norte —la misma agencia detrás de Lazarus y Bluenoroff— sigue utilizando tácticas cibernéticas para apoyar objetivos militares. Los funcionarios del Tesoro, señalaron, han estado advirtiendo que el robo de criptomonedas y el fraude de identidad siguen siendo centrales en la estrategia de Corea del Norte para evitar la presión económica.

Los analistas explicaron que el esquema descubierto por OFAC se basa en gran medida en identidades falsas. Se alega que Song fue responsable de crear esas identidades falsas, utilizando datos robados de ciudadanos estadounidenses reales. Una vez contratados, los operativos norcoreanos pudieron haber trabajado durante meses o incluso años en empresas estadounidenses bajo nombres falsos.

También señalaron que OFAC sancionó a cuatro empresas y a otra persona conectada a una red con sede en Rusia que supuestamente ayudó a gestionar estos trabajos falsos de TI. Estas empresas, según informes, firmaron contratos a largo plazo con empresas vinculadas a la RPDC y eran conscientes de que estaban tratando con trabajadores norcoreanos.

Muchos de los trabajadores apuntaron a empleos en el sector cripto específicamente, donde los pagos eran más fáciles de anonimizar. Una vez que se recibió el cripto, dijeron los analistas de TRM Labs, se distribuyó en varias billeteras y eventualmente se convirtió en fiat utilizando corredores OTC, algunos de los cuales habían sido sancionados previamente.

Alianza cibernética

La última acción de OFAC siguió a una serie de movimientos coordinados por agencias estadounidenses, incluyendo el Departamento de Justicia y el FBI. El 5 de junio de 2025, el DOJ también presentó una demanda de confiscación civil buscando incautar más de $7.7 millones en cripto, NFTs y otros activos digitales que se cree están vinculados a la misma red norcoreana.

TRM Labs dice que los trabajadores utilizaron identidades como "Joshua Palmer" y "Alex Hong" para ser contratados en startups de criptomonedas y otras empresas tecnológicas. Se les pagó en stablecoins, con los ingresos canalizados a través de intercambios centralizados, billeteras autoalojadas y luego hacia figuras de alto nivel del régimen como Kim Sang Man y Sim Hyon Sop, ambos ya bajo sanciones de EE. UU.

La investigación del DOJ, según los analistas, reveló que partes de la operación dependían de infraestructura basada en Rusia y los EAU. Los investigadores encontraron el uso de direcciones IP locales y documentación falsificada, lo que ayudó a los trabajadores norcoreanos a ocultar sus verdaderas identidades. Esto, dijeron, subrayó cuán internacional se había vuelto el esquema.

Actividad en cadena relacionada con las billeteras de los trabajadores de TI de la RPDC | Fuente: TRM Labs. Los datos de blockchain revisados por TRM mostraron que una vez que los fondos llegaron a billeteras de nivel medio, el dinero se dividió en porciones más pequeñas, se enroutó a través de herramientas que mejoran la privacidad y, finalmente, se intercambió por fiat a través de escritorios OTC. Uno de esos corredores OTC ya había sido sancionado por OFAC a finales de 2024.

En cuanto a los esfuerzos de aplicación de la ley, el FBI y otras agencias lograron incautar una parte de los activos digitales lavados, incluyendo USDC, ETH y algunos NFT de alto valor. Los analistas describieron estas incautaciones como parte de una estrategia de lavado más amplia destinada a descomponer la pista de dinero y hacer que la detección sea mucho más difícil.

TRM Labs dice que la última acción del gobierno de EE. UU. envía un mensaje de que las criptomonedas siguen siendo un canal de alto riesgo para la evasión de sanciones, especialmente en lo que respecta a las operaciones norcoreanas. La firma de inteligencia blockchain advirtió que las empresas que contratan desarrolladores remotos —especialmente en el espacio blockchain— necesitan tener un cuidado adicional al verificar con quién realmente están tratando.