Un nuevo informe revela el alarmante alcance de los hackers de criptomonedas de Corea del Norte

Según un informe publicado por el Multilateral Sanctions Monitoring Team (MSMT), hackers vinculados a Corea del Norte robaron la asombrosa suma de 2.83 mil millones de dólares en activos virtuales entre 2024 y septiembre de 2025.

El informe enfatiza que Pyongyang no solo se destaca en el robo, sino que también posee métodos sofisticados para liquidar las ganancias ilícitas.

Los ingresos por hackeos financian un tercio de la moneda extranjera del país

El MSMT es una coalición multinacional de 11 países, incluyendo Estados Unidos, Corea del Sur y Japón. Fue establecido en octubre de 2024 para apoyar la implementación de las sanciones del Consejo de Seguridad de la ONU contra Corea del Norte.

Según el MSMT, los 2.83 mil millones de dólares robados desde 2024 hasta septiembre de 2025 representan una cifra crítica.

“Las ganancias por robo de activos virtuales de Corea del Norte en 2024 representaron aproximadamente un tercio del ingreso total de moneda extranjera del país”, señaló el equipo.

La escala del robo se ha acelerado dramáticamente, con 1.64 mil millones de dólares robados solo en 2025, lo que representa un aumento de más del 50% respecto a los 1.19 mil millones sustraídos en 2024, a pesar de que la cifra de 2025 no incluye el último trimestre.

El hackeo a Bybit y el sindicato TraderTraitor

El MSMT identificó el hackeo de febrero de 2025 al exchange global Bybit como un factor clave en el aumento de ingresos ilícitos en 2025. El ataque fue atribuido a TraderTraitor, una de las organizaciones de hacking más sofisticadas de Corea del Norte.

La investigación reveló que el grupo recolectó información relacionada con SafeWallet, el proveedor de billeteras multifirma utilizado por Bybit. Luego obtuvieron acceso no autorizado mediante correos electrónicos de phishing.

Utilizaron código malicioso para acceder a la red interna, disfrazando transferencias externas como movimientos internos de activos. Esto les permitió tomar el control del contrato inteligente de la cold wallet.

El MSMT señaló que, en los principales hackeos de los últimos dos años, Corea del Norte suele preferir atacar a proveedores de servicios terceros conectados a los exchanges, en lugar de atacar directamente a los exchanges.

El mecanismo de lavado de nueve pasos

El MSMT detalló un meticuloso proceso de lavado de nueve pasos que Corea del Norte utiliza para convertir los activos virtuales robados en moneda fiduciaria:

1. Los atacantes intercambian los activos robados por criptomonedas como ETH en un Decentralized Exchange (DEX).

2. ‘Mezclan’ los fondos utilizando servicios como Tornado Cash, Wasabi Wallet o Railgun.

3. Convierten ETH a BTC mediante servicios de puente.

4. Mueven los fondos a una cold wallet después de pasar por cuentas de exchanges centralizados.

5. Dispersan los activos a diferentes billeteras tras una segunda ronda de mezcla.

6. Intercambian BTC por TRX (Tron) usando puentes y operaciones P2P.

7. Convierten TRX al stablecoin USDT.

8. Transfieren el USDT a un broker Over-the-Counter (OTC).

9. El broker OTC liquida los activos en moneda fiduciaria local.

Red global facilita el retiro de efectivo

La etapa más desafiante es convertir cripto en moneda fiduciaria utilizable. Esto se logra utilizando brokers OTC y empresas financieras en países terceros, incluyendo China, Rusia y Camboya.

El informe nombró a personas específicas. Entre ellas, los ciudadanos chinos Ye Dinrong y Tan Yongzhi de Shenzhen Chain Element Network Technology y el trader P2P Wang Yicong.

Supuestamente cooperaron con entidades norcoreanas para proporcionar identificaciones fraudulentas y facilitar el lavado de activos. Intermediarios rusos también estuvieron implicados en la liquidación de aproximadamente 60 millones de dólares del hackeo a Bybit.

Además, Huione Pay, un proveedor de servicios financieros bajo el grupo Huione de Camboya, fue utilizado para el lavado.

“Un ciudadano norcoreano mantuvo una relación personal con asociados de Huione Pay y cooperó con ellos para retirar activos virtuales a fines de 2023”, declaró el MSMT.

El MSMT expresó su preocupación al gobierno de Camboya en octubre y diciembre de 2024. Estas preocupaciones estaban relacionadas con las actividades de Huione Pay apoyando a hackers cibernéticos norcoreanos designados por la ONU. Como resultado, el Banco Nacional de Camboya se negó a renovar la licencia de pagos de Huione Pay; sin embargo, la empresa continúa operando en el país.