Cómo las operaciones de hacking de Corea del Norte mantienen más de 30 identidades falsas en plataformas globales

Las investigaciones recientes sobre dispositivos comprometidos de trabajadores de TI norcoreanos han revelado el plan operativo de un sofisticado equipo técnico de cinco personas que gestiona una extensa red de identidades fraudulentas en línea. Las revelaciones, compartidas por el reconocido detective en cadena ZachXBT, ofrecen una visión sin precedentes de cómo estos actores infiltran sistemáticamente proyectos de desarrollo de criptomonedas y empresas tecnológicas globales.

La infraestructura detrás del fraude masivo de identidades

El modelo operativo del equipo se basa en comprar cuentas existentes y desplegar herramientas de acceso remoto. Su estrategia de adquisición incluye comprar perfiles en Upwork y LinkedIn, obtener números de seguridad social falsos (SSNs), y alquilar números de teléfono y equipos informáticos. Una vez equipados, utilizan el software de escritorio remoto AnyDesk para completar trabajos de desarrollo subcontratados en múltiples plataformas simultáneamente.

Los registros de gastos recuperados de sus sistemas revelan una cadena de suministro sofisticada: procesadores de pago en criptomonedas como Payoneer convierten ganancias en moneda fiduciaria en activos digitales, mientras que las suscripciones a servicios de IA y servicios de VPN/proxy inversos ocultan su verdadera ubicación geográfica y huellas operativas. Este enfoque en capas les permite mantener un acceso persistente a los mercados laborales globales a pesar de los intentos repetidos de exposición.

Flujos de trabajo operativos y desafíos internos

Documentos de Google Drive y perfiles del navegador Chrome expusieron flujos de trabajo internos que parecen sorprendentemente mundanos. Los informes de rendimiento semanales detallan asignaciones de tareas, distribuciones presupuestarias y notas de resolución de problemas. Una entrada capturó la frustración de un miembro del equipo: “no entender los requisitos del trabajo y no saber qué hacer”, con la respuesta del supervisor simplemente diciendo “dedícate y trabaja más duro”.

Los horarios detallados muestran cómo identidades ficticias como “Henry Zhang” se despliegan en proyectos con protocolos de reuniones guionizados. Esta regimentación sugiere una gestión centralizada a pesar de la dispersión geográfica—una vulnerabilidad crítica que finalmente llevó a su descubrimiento.

Rastros financieros y confirmación de identidad

Una dirección de wallet clave (0x78e1a4781d184e7ce6a124dd96e765e2bea96f2c) vinculada a un ataque en el protocolo Favrr de $680,000 en junio de 2025 proporcionó el primer gran avance. Las víctimas del ataque, su CTO y desarrolladores comprometidos, fueron posteriormente confirmados como trabajadores de TI norcoreanos operando con credenciales falsificadas. Esta dirección se convirtió en un identificador crucial que conecta al equipo con múltiples incidentes de infiltración en la industria.

La evidencia lingüística resultó igualmente condenatoria. Los historiales de búsqueda revelaron una dependencia frecuente de Google Translate, con traducciones al coreano procesadas a través de direcciones IP rusas—un patrón de geoip inverso incompatible con las ubicaciones reclamadas de los trabajadores.

Desafíos crecientes para la defensa empresarial

La investigación destaca vulnerabilidades sistémicas en la arquitectura de seguridad actual:

Brechas en la coordinación de plataformas: Los proveedores de servicios y las empresas privadas carecen de mecanismos formalizados de intercambio de inteligencia, lo que permite que las mismas identidades fraudulentas circulen por múltiples plataformas sin ser detectadas.

Prácticas de contratación reactiva: Las empresas objetivo a menudo se vuelven defensivas cuando se les presentan advertencias de riesgo, priorizando la continuidad operativa sobre la cooperación en investigaciones de seguridad.

Ventaja en escala numérica: Aunque la sofisticación técnica individual sigue siendo moderada, el volumen masivo de intentos de infiltración—aprovechando un enorme pool de talento—sobrepasa los procesos tradicionales de selección.

Conversión de pagos en criptomonedas: La facilidad de convertir ingresos fiduciarios en activos digitales a través de plataformas accesibles elimina las fricciones bancarias tradicionales que históricamente atrapaban a operativos extranjeros.

Estas vulnerabilidades operativas persisten no por una técnica sofisticada, sino porque la detección requiere una colaboración proactiva entre plataformas que actualmente no existe a gran escala en las industrias de criptomonedas y tecnología.