Cryptonews

Los trabajadores de TI de Corea del Norte operaron dentro de protocolos DeFi durante años, advierte un investigador

Fuente
cryptonewstrend.com
Publicado
Los trabajadores de TI de Corea del Norte operaron dentro de protocolos DeFi durante años, advierte un investigador

Los operadores vinculados a Corea del Norte han pasado años integrándose silenciosamente en empresas de cifrado y equipos DeFi, lo que ha generado nuevas preocupaciones sobre el riesgo interno después de una serie de exploits de alto valor vinculados al aparato cibernético del país.

El investigador de seguridad y desarrollador de MetaMask, Taylor Monahan, dijo que estas tácticas se remontan a los primeros días de las finanzas descentralizadas, con personas vinculadas a la República Popular Democrática de Corea que contribuían a varios protocolos ampliamente utilizados.

“Muchos trabajadores de TI de la RPDC crearon los protocolos que usted conoce y ama, desde el verano de DeFi”, dijo el domingo, y agregó que más de 40 plataformas, incluidos varios proyectos conocidos, han dependido en algún momento de dichos desarrolladores.

Sin embargo, señaló que los "siete años de experiencia en desarrollo de blockchain" que figuran en sus currículums "no son una mentira".

Los investigadores han vinculado durante mucho tiempo las operaciones cibernéticas de Corea del Norte con el Grupo Lazarus, un colectivo respaldado por el estado que se cree que ha robado alrededor de 7 mil millones de dólares en activos digitales desde 2017, según analistas de R3ACH.

El grupo se ha asociado con algunas de las mayores infracciones de la industria, incluido el exploit Ronin Bridge de 625 millones de dólares en 2022, el hackeo de WazirX de 235 millones de dólares en 2024 y el incidente de Bybit de 1.400 millones de dólares en 2025.

Actores norcoreanos detrás del exploit Drift

El exploit de Drift Protocol de 280 millones de dólares de la semana pasada ha generado un nuevo escrutinio. El proyecto dijo que tenía “confianza media-alta” en que un grupo afiliado al Estado norcoreano estaba detrás del ataque, vinculando el incidente con un patrón más amplio de infiltración e ingeniería social.

Sin embargo, las reuniones cara a cara que condujeron a la violación no fueron con ciudadanos norcoreanos, sino más bien con "terceros intermediarios" que utilizaban "identidades completamente construidas que incluyen historiales laborales, credenciales públicas y redes profesionales".

Estos perfiles incluían historiales laborales, credenciales públicas y redes profesionales activas, lo que les permitía generar confianza a través de interacciones en persona antes de que se desarrollara el exploit.

El investigador independiente de blockchain ZachXBT advirtió en una publicación reciente de X que no todas las amenazas vinculadas a Corea del Norte operan con el mismo nivel de sofisticación.

"El problema principal es que todos los agrupan cuando la complejidad de las amenazas es diferente", dijo.

Describió muchos intentos de infiltración como relativamente simples, que dependían más de la persistencia que de la complejidad técnica. La divulgación a través de ofertas de trabajo, LinkedIn, correo electrónico, llamadas de Zoom y procesos de entrevistas sigue siendo común.

"Básicos y de ninguna manera sofisticados [...] lo único que tienen es que son implacables", dijo, y agregó que los equipos que sigan cayendo en tales tácticas en 2026 corren el riesgo de ser vistos como negligentes.