El robo de criptomonedas de 2.8 billones de dólares por parte de Corea del Norte financia sus ambiciones militares

Corea del Norte depende de grupos de hackers respaldados por el Estado, como Lazarus, para financiar su ejército, con criptomonedas robadas que representan casi un tercio de sus ingresos en divisas extranjeras y proporcionan un flujo constante de efectivo ilícito inmune a las sanciones tradicionales.

En un informe del 22 de octubre, el Multilateral Sanctions Monitoring Team indicó que entre enero de 2024 y septiembre de 2025, actores norcoreanos orquestaron robos de criptomonedas por un total de al menos $2.8 mil millones, a través de grupos de hackers respaldados por el Estado y ciberactores que apuntan al sector de activos digitales.

La mayor parte del botín provino de incidentes importantes, incluido el exploit de Bybit en febrero de 2025, que por sí solo representó aproximadamente la mitad del total. El informe atribuye estos exploits a actores de amenazas norcoreanos conocidos que utilizan métodos sofisticados de cadena de suministro, ingeniería social y compromiso de wallets.

El sofisticado arsenal de robo y evasión de Corea del Norte

Las operaciones cripto de Corea del Norte giran en torno a un ecosistema cerrado de grupos de hackers vinculados al Estado, entre los que destacan Lazarus, Kimsuky, TraderTraitor y Andariel, cuyas huellas aparecen en casi todas las principales brechas de activos digitales de los últimos dos años.

Según analistas de ciberseguridad, estos equipos operan bajo la Reconnaissance General Bureau, el principal brazo de inteligencia de Pyongyang, coordinando ataques que imitan la eficiencia del sector privado. Su principal innovación ha sido evitar los exchanges por completo, apuntando en su lugar a los proveedores de custodia de activos digitales de terceros que los exchanges utilizan para almacenamiento seguro.

Al comprometer la infraestructura de empresas como Safe(Wallet), Ginco y Liminal Custody, los actores norcoreanos obtuvieron una llave maestra para sustraer fondos de clientes como Bybit, DMM Bitcoin de Japón y WazirX de India.

El ataque a DMM Bitcoin, que resultó en una pérdida de $308 millones y el eventual cierre del exchange, se inició meses antes cuando un actor de TraderTraitor, haciéndose pasar por reclutador en LinkedIn, engañó a un empleado de Ginco para que abriera un archivo malicioso disfrazado de prueba previa a la entrevista.

Otros grupos patrocinados por el Estado operan en conjunto con este esfuerzo principal. El colectivo CryptoCore, aunque menos sofisticado, realiza ingeniería social a gran escala, haciéndose pasar por reclutadores y ejecutivos de negocios para infiltrarse en los objetivos.

Mientras tanto, Citrine Sleet se ha ganado la reputación de desplegar software de trading de criptomonedas troyanizado. En un incidente detallado de octubre de 2024, un actor de Citrine Sleet, haciéndose pasar por un antiguo contratista de confianza en Telegram, entregó un archivo ZIP malicioso a un desarrollador de Radiant Capital, lo que llevó a un robo de $50 millones.

La ruta del lavado apunta de regreso a Corea del Norte

Una vez robados, los activos digitales ingresan a un complejo proceso de lavado de nueve pasos diseñado para ocultar su origen y convertirlos en moneda fiat utilizable. Los ciberactores de la RPDC intercambian sistemáticamente los tokens robados por criptomonedas establecidas como Ethereum o Bitcoin, y luego utilizan una serie de servicios de mezcla, incluidos Tornado Cash y Wasabi Wallet.

Luego aprovechan puentes cross-chain y agregadores como THORChain y LI.FI para saltar entre blockchains, convirtiendo a menudo los activos mezclados en USDT basado en Tron para prepararlos para su retiro en efectivo. Los investigadores señalaron que toda esta operación depende de una red de brokers over-the-counter, predominantemente en China, que aceptan el USDT lavado y depositan la moneda fiat equivalente en cuentas bancarias controladas por la RPDC a través de tarjetas UnionPay chinas.

Esta implacable campaña de robo digital tiene consecuencias directas y graves en el mundo real. Los miles de millones extraídos del ecosistema cripto no desaparecen en un vacío burocrático. El informe de MSMT concluye que esta fuente de ingresos es fundamental para la adquisición de materiales y equipos para los programas ilícitos de armas de destrucción masiva y misiles balísticos de la RPDC.

Al proporcionar un enorme flujo de efectivo ilícito que es inmune a las sanciones financieras tradicionales, la industria global de criptomonedas ha sido convertida en un arma, convirtiéndose en un financiador no regulado e involuntario de las ambiciones militares de Pyongyang. Los robos no son meros crímenes de lucro; son actos de política estatal, financiando una acumulación militar que amenaza la seguridad global.