En Resumen
- Hackers de Corea del Norte robaron $2.020 millones en criptomonedas durante 2025, un aumento del 51% respecto al año anterior.
- El ataque de $1.500 millones a Bybit en febrero, vinculado por el FBI a la RPDC, ejemplifica la evolución hacia menos ataques pero de mayor impacto.
- Chainalysis identificó un patrón de lavado de tres oleadas y 45 días que incluye servicios en chino, puentes entre cadenas y mezcladores cripto.
Hackers de la República Popular Democrática de Corea, también conocida como RPDC o Corea del Norte, han robado $2.020 millones en criptomonedas durante 2025, según reveló el jueves un informe de Chainalysis.
Esto representa un aumento del 51% respecto a la cifra del año pasado, y es el mayor año registrado en robos cripto relacionados con la RPDC. En conjunto, las criptomonedas han visto $3.400 millones en robos este año, según indica el informe, lo que significa que los ataques de la RPDC representan el 59% de estos fondos robados.
Chainalysis cree que los datos muestran una "evolución" de Corea del Norte, ya que comienzan a cometer menos ataques pero infligen significativamente más daño con cada golpe. El ataque de $1.500 millones a Bybit en febrero, que el FBI vinculó a la RPDC, es un ejemplo clave de esta evolución.
"Para la industria de las criptomonedas, esta evolución exige una mayor vigilancia en torno a objetivos de alto valor y una mejor detección de los patrones específicos de lavado de la RPDC", afirma el informe. "Sus preferencias consistentes por ciertos tipos de servicios y montos de transferencia proporcionan oportunidades de detección, los distinguen de otros criminales y pueden ayudar a los investigadores a identificar su huella de comportamiento on-chain".
Chainalysis afirma haber identificado un patrón distintivo de lavado de tres oleadas y 45 días de duración que los atacantes de la RPDC suelen seguir. Los identificadores incluyen el uso de servicios en idioma chino, una fuerte dependencia en el uso de puentes de activos entre cadenas para confundir el rastreo y un mayor uso de servicios de mezcla cripto. Este patrón, según el informe, ha persistido durante los últimos años.
Chainalysis no respondió a la solicitud de comentarios de Decrypt sobre cómo los analistas saben que estos ataques provienen de la RPDC y no de otros grupos.
Cada vez más, los ataques provienen de actores maliciosos contratados por empresas cripto. El atacante luego trabaja para obtener acceso privilegiado antes de robar información o fondos importantes.
Binance dijo a Decrypt en el verano que los hackers norcoreanos intentan ser contratados por el exchange centralizado cada día. Jimmy Su, director de seguridad de Binance, explicó que los atacantes pueden incluso usar video en vivo generado por IA y modificadores de voz en llamadas en un intento de ser contratados. El exchange ha identificado varias señales reveladoras comunes de atacantes de la RPDC, y comparte esta información con otros exchanges cripto a través de Telegram y Signal.
Además de esto, se descubrió que los hackers norcoreanos estaban envenenando paquetes NPM, bibliotecas de código público regularmente utilizadas, para infiltrarse en proyectos. Nuevamente, Binance reconoció esta amenaza y afirma que sus desarrolladores se ven obligados a revisar cada biblioteca de código minuciosamente.
"A medida que Corea del Norte continúa usando el robo de criptomonedas para financiar prioridades estatales y eludir sanciones internacionales, la industria debe reconocer que este actor de amenazas opera bajo reglas diferentes a las de los cibercriminales típicos", señaló el informe de Chainalysis. "El desempeño récord del país en 2025, logrado con un 74% menos de ataques conocidos, sugiere que es posible que solo estemos viendo la porción más visible de sus actividades".
"El desafío para 2026 será detectar y prevenir estas operaciones de alto impacto antes de que actores afiliados a la RPDC inflijan otro incidente a escala de Bybit", concluyó.