DOJ Acusa a Falsos Desarrolladores Norcoreanos de 'Infiltrarse' en Startups de Criptomonedas

Cuatro ciudadanos norcoreanos se infiltraron en una startup de blockchain con sede en Atlanta y robaron casi $1 millón en criptomonedas haciéndose pasar por desarrolladores remotos, según anunciaron fiscales federales del Distrito Norte de Georgia, detallando cargos de un acta de acusación de cinco cargos por fraude electrónico y lavado de dinero.

Los acusados operaron inicialmente como un equipo en los Emiratos Árabes Unidos antes de infiltrarse en empresas de criptomonedas en Estados Unidos y Serbia como trabajadores remotos de TI. Después de ganar confianza, robaron $175.000 y $740.000 en dos incidentes separados en 2022, blanqueando los fondos a través de mezcladores y exchanges de criptomonedas utilizando documentos de identificación falsos.

Supuestamente apodados como "trabajadores de TI norcoreanos", los presuntos individuos operan "incrustándose dentro de estas organizaciones" para "recopilar inteligencia, manipular protocolos de seguridad e incluso facilitar violaciones internas", dijo Andrew Fierman, jefe de seguridad nacional en la firma de análisis de blockchain Chainalysis, a Decrypt.

Las criptomonedas robadas desaparecieron a través de un laberinto de transacciones diseñadas para ocultar su origen—un manual sofisticado que Corea del Norte ha perfeccionado a lo largo de años de operaciones cibercriminales.

El DOJ no respondió de inmediato a la solicitud de comentarios de Decrypt.

Procedimiento operativo estándar

Estas tácticas forman "un patrón que cada vez más se ha convertido en procedimiento estándar", dijo Fierman a Decrypt.

Los actores de amenazas son contratados utilizando "documentación falsificada" y "ocultando su conexión norcoreana", explicó Fierman.

Además de enviar su compensación "de vuelta al régimen", los trabajadores también "esperan pacientemente la oportunidad de acceder a los fondos de la empresa Web3 a la que se han infiltrado" para robar más, dijo Fierman.

El esquema expone una vulnerabilidad en la cultura remota del ecosistema cripto, donde las empresas que contratan a nivel global pueden omitir verificaciones de antecedentes, permitiendo que actores patrocinados por el estado con identidades falsas exploten las brechas.

"Desafortunadamente, muchos equipos evitan las reuniones en persona y prefieren contratar más desarrolladores 'baratos' que contratar a personas conocidas en nuestro sector", dijo Vladimir Sobolev, investigador de amenazas en la firma de seguridad blockchain Hexens, a Decrypt. "Este es un problema fundamental".

Al describir las operaciones cibernéticas de Corea del Norte como un "esfuerzo a largo plazo", Sobolev señala que el país ha estado involucrado en estas actividades durante mucho tiempo, incluso "antes de la popularidad de blockchain y Web3".

Esquema más amplio

A principios de este mes, los fiscales federales detallaron en una demanda civil cómo "se explotaron decenas de millones en un esquema más amplio de trabajadores de TI norcoreanos en criptomonedas", dijo Fierman, compartiendo documentos revisados por Decrypt.

En un comunicado de prensa separado, el DOJ declaró que realizó redadas coordinadas en 16 estados, incautando 29 cuentas financieras, 21 sitios web fraudulentos y aproximadamente 200 computadoras de "granjas de laptops" que respaldaban esquemas informáticos norcoreanos, incluidos los cuatro mencionados anteriormente.

Las acciones de cumplimiento revelaron cómo los agentes norcoreanos utilizaban estas granjas de laptops como puntos de acceso remoto, lo que permitía a los operativos modificar contratos inteligentes y drenar fondos de criptomonedas mientras parecía que trabajaban desde ubicaciones en Estados Unidos.

"La capacidad de las organizaciones para reconocer estas amenazas y proteger su empresa contra ellas será crítica", advirtió Fierman.