Desde el comienzo de 2024, grupos de hackers vinculados a Corea del Norte han robado un total de $2.83 mil millones en criptomonedas. Según el último informe del Equipo Multinacional de Monitoreo de Sanciones (MSMT), criptomonedas por un valor de $1.64 mil millones fueron adquiridas ilícitamente solo en los primeros nueve meses de este año. Esta cantidad constituye aproximadamente un tercio de los ingresos en divisas del país para 2024.
El Ataque a Bybit se Convierte en la Mayor Fuente de Pérdida de Cripto
En octubre de 2024, el MSMT fue establecido por 11 países para monitorear la evasión de sanciones de Corea del Norte a través de delitos cibernéticos. El reciente informe del grupo destaca un aumento del 50% en el robo de criptomonedas en 2025 en comparación con el año anterior. La mayor pérdida provino de un ataque dirigido al exchange Bybit en febrero. Hackers afiliados al grupo TraderTraitor infiltraron el proveedor de wallets multi-firma de Bybit, SafeWallet, y se apoderaron del contrato inteligente de la wallet fría a través de transacciones que parecían ser transferencias internas.
El informe indicó que los hackers a menudo apuntan a proveedores de servicios de terceros en lugar de a los exchanges directamente. Grupos como TraderTraitor, CryptoCore y Citrine Sleet han profundizado sus ataques utilizando perfiles falsos de desarrolladores, robo de identidad e información de la cadena de suministro. La pérdida de $63 millones del proyecto Munchables Web3 se cita como un ejemplo de estas técnicas. Aunque los fondos fueron eventualmente devueltos, se destacaron los desafíos durante el proceso de lavado.
Red Compleja de Lavado y Colaboraciones Globales
Según el análisis del MSMT, los activos robados se convierten en efectivo a través de un proceso de nueve pasos. Inicialmente, las criptomonedas se convierten en Ethereum (ETH) en exchanges descentralizados y sus rastros se borran utilizando servicios de mezcla como Tornado Cash y Wasabi Wallet. Luego, Ethereum se intercambia por Bitcoin (BTC), se pasa a través de plataformas de puente, y se mezcla aún más. El BTC almacenado en wallets frías se convierte a USDT a través de Tron (TRX) y finalmente se transfiere a corredores de venta libre (OTC) por efectivo.
Individuos y empresas con base en China, Rusia y Camboya desempeñan roles cruciales en esta cadena. Empleados de Shenzhen Chain Element Network Technology, Ye Dinrong y Tan Yongzhi, junto con el comerciante Wang Yicong, fueron identificados como creadores de identidades y cuentas falsas. Intermediarios rusos lavaron $60 millones adquiridos del ataque a Bybit, mientras que Huione Pay de Camboya continuó siendo utilizada en transferencias a pesar de no haber renovado su licencia.
El MSMT señaló que los grupos vinculados a Pyongyang han estado colaborando con ciberdelincuentes de habla rusa desde la década de 2010, y el grupo Moonstone Sleet adquirió ransomware del grupo Qilin con sede en Rusia en 2025. La organización ha instado a todos los estados miembros de la ONU a aumentar la concienciación sobre las amenazas cibernéticas y ha llamado al Consejo de Seguridad a reactivar el disuelto Panel de Expertos.
- Hackers norcoreanos roban $2.83 mil millones en criptomonedas desde 2024.
- El ataque a Bybit fue la mayor pérdida de cripto en febrero.
- Redes internacionales y técnicas avanzadas facilitan el lavado de activos robados.
