Se descubre una estafa mensual de un millón de dólares: especialistas en tecnología deshonestos de un régimen aislado atrapados con las manos en la masa en un plan de engaño con criptomonedas

Una importante violación de un servidor de pagos interno de Corea del Norte ha revelado una sofisticada red de fraude que genera casi 1 millón de dólares al mes. El investigador en cadena ZachXBT obtuvo datos de una fuente anónima, incluidas 390 cuentas, registros de chat y transacciones criptográficas. Los datos filtrados expusieron identidades falsas, documentos legales falsificados y métodos de conversión de cripto a fiat. Desde finales de noviembre de 2025, más de 3,5 millones de dólares se movieron a través de las direcciones de billetera de pago de la red. La infracción se originó en un dispositivo comprometido que pertenecía a un trabajador de TI de la RPDC infectado por un ladrón de información. Los datos extraídos del dispositivo incluían registros de chat de IPMsg, documentos de identidad falsos e historial del navegador. Los investigadores rastrearon la actividad hasta un sitio llamado luckyguys[.]site, descrito como una plataforma interna de envío de pagos. La plataforma funcionaba de manera similar a una aplicación de mensajería, permitiendo a los trabajadores informar los pagos a los encargados. Diez usuarios de la plataforma aún tenían la contraseña predeterminada, 123456, sin cambios. La lista de usuarios incluía roles, nombres coreanos, ciudades y nombres de grupos codificados consistentes con operaciones conocidas de trabajadores de TI de la RPDC. En los datos aparecieron tres empresas sancionadas: Sobaeksu, Saenal y Songkwang, todas actualmente bajo sanciones de la OFAC. ZachXBT publicó en X que el patrón de remesas era consistente entre los usuarios. Los trabajadores transfirieron criptomonedas desde intercambios o servicios, o convirtieron fondos a dinero fiduciario a través de cuentas bancarias chinas a través de plataformas como Payoneer. 1/ Recientemente, una fuente anónima compartió datos extraídos de un servidor de pagos interno de Corea del Norte que contenía 390 cuentas, registros de chat y transacciones criptográficas. Pasé largas horas repasándolo todo, y ninguno de ellos se ha hecho público. Reveló un intrincado… pic.twitter.com/aTybOrwMHq - ZachXBT (@zachxbt) 8 de abril de 2026 Una cuenta de administrador, PC-1234, luego confirmó la recepción y distribuyó credenciales para varios intercambios y plataformas fintech. Un usuario identificado como “Rascal” tenía registros de mensajes directos con PC-1234 que detallaban transferencias de pago y el uso de identidades fraudulentas desde diciembre de 2025 hasta abril de 2026. Las direcciones de Hong Kong aparecían en los registros de facturación, aunque no se pudo confirmar su autenticidad. Se identificaron dos direcciones de pago: una dirección de Ethereum y una dirección de Tron, esta última congelada por Tether en diciembre de 2025. Utilizando el conjunto de datos completo, ZachXBT trazó un mapa de la estructura organizativa completa de la red, incluidos los totales de pago por usuario y grupo. Publicó un organigrama interactivo que cubre el rango de datos de diciembre de 2025 a febrero de 2026. Más allá del fraude financiero, los datos revelaron actividad de formación en ciberseguridad dentro del grupo. Según la publicación de ZachXBT, el administrador envió 43 módulos de capacitación de Hex-Rays e IDA Pro al grupo entre noviembre de 2025 y febrero de 2026. Los temas cubrieron desmontaje, descompilación, depuración local y remota, y varios temas de ciberseguridad. Un enlace enviado el 20 de noviembre hacía referencia al uso de un depurador IDA para descomprimir un ejecutable hostil. Un dispositivo comprometido perteneciente a un trabajador identificado como "Jerry" mostró el uso de Astrill VPN y múltiples personas falsas solicitando empleo. Un mensaje interno de Slack mostraba a un usuario llamado “Nami” compartiendo una publicación de blog sobre un solicitante de empleo falsificado para un trabajador de TI de la RPDC. Otra captura de pantalla mostró a 33 trabajadores comunicándose en la misma red a través de IPMsg. Jerry también habló sobre planes para robar en un proyecto llamado Arcano, un juego de GalaChain, con otro trabajador a través de un proxy nigeriano. Aún no está claro si ese ataque tuvo lugar. El investigador señaló que este grupo es menos sofisticado que grupos como AppleJeus y TraderTraitor. ZachXBT declaró en una publicación que los trabajadores de TI de la RPDC generan colectivamente siete cifras por mes, y estos datos respaldan esa estimación. Añadió que los actores de amenazas están perdiendo una oportunidad al no atacar a estos grupos de nivel inferior de la RPDC, citando una competencia mínima y un riesgo de baja repercusión. Confirmó sus planes de seguir publicando los hallazgos a través de su plataforma de investigación.