Brecha en red de TI de la RPDC expone esquema de fraude de $1M/mes

• Trabajadores de TI de la RPDC operaron una red de fraude cripto de $1M/mes con pipelines estructurados.
• Contraseñas débiles y empresas listadas por la OFAC expusieron importantes vulnerabilidades operativas.
• Los registros de entrenamiento revelan ingeniería inversa organizada y fraude de identidad para generar ingresos.

Una investigación reciente del analista de blockchain ZachXBT descubrió una brecha interna a gran escala vinculada a trabajadores de TI de Corea del Norte. Los datos filtrados expusieron una red de 390 cuentas, registros de chat y transacciones cripto. 

Además, los hallazgos revelan un sistema coordinado que procesó alrededor de $1M por mes a través de identidades fraudulentas y engaño financiero. En consecuencia, la brecha proporciona una visibilidad poco común sobre cómo funcionan estas operaciones tras bambalinas.

ZachXBT informó que una fuente anónima proporcionó los datos después de comprometer un dispositivo vinculado a un trabajador de TI de la RPDC. La infección se originó de un infostealer, que extrajo registros de chat IPMsg, historial del navegador y registros de identidad. 

Además, los registros revelaron una plataforma llamada luckyguys[.]site, que actuaba como centro de comunicación interna. Este sistema funcionaba como un servicio de mensajería privada para reportar pagos y coordinar actividades.

Infraestructura de Pagos y Flujo Operativo

Los datos muestran un pipeline de pagos estructurado que conecta flujos cripto con conversión a fiat. Los usuarios transferían fondos desde exchanges o convertían activos a través de cuentas bancarias chinas y plataformas fintech como Payoneer. Por lo tanto, la red mantuvo liquidez constante a través de múltiples canales.

Significativamente, el servidor interno utilizaba una contraseña predeterminada débil, 123456, en varias cuentas. Este descuido expuso serias brechas de seguridad dentro del sistema. 

La plataforma incluía roles de usuario, nombres coreanos y datos de ubicación, que se alineaban con estructuras conocidas de trabajadores de TI de la RPDC. Además, tres empresas vinculadas a la red aparecieron en listas de sanciones de la OFAC, incluyendo Sobaeksu, Saenal y Songkwang.

ZachXBT identificó más de $3.5M en transacciones fluyendo hacia direcciones de wallet asociadas desde finales de noviembre de 2025. El patrón consistente implicaba confirmación centralizada por una cuenta de administrador etiquetada como PC-1234. Esta cuenta validaba pagos y distribuía credenciales para exchanges y plataformas fintech.

Además, un wallet de Tron vinculado a la operación enfrentó congelamiento por Tether en diciembre de 2025. Esta acción destacó la creciente presión de aplicación sobre actividad cripto ilícita vinculada a grupos respaldados por estados.

Profundidad Operativa y Actividades de Entrenamiento

La brecha también expuso discusiones internas y materiales de entrenamiento. Un canal interno de Slack mostró 33 trabajadores de TI de la RPDC comunicándose simultáneamente a través de IPMsg. Además, los administradores distribuyeron 43 módulos de entrenamiento sobre herramientas como IDA Pro y Hex-Rays.

Estos materiales cubrían técnicas de ingeniería inversa, depuración y explotación de software. En consecuencia, el grupo demostró entrenamiento estructurado a pesar de sofisticación limitada en comparación con grupos avanzados como AppleJeus o TraderTraitor. Sin embargo, la escala de operaciones aún generó flujos de ingresos significativos.

Los registros filtrados también hicieron referencia a intentos de usar identidades falsas y aplicaciones deepfake para infiltración laboral. Además, algunas conversaciones cubrían el objetivo de plataformas de juegos y servicios financieros.

Relacionado: SBI Ripple Asia Ha Completado Su Plataforma de Emisión de Tokens en XRP Ledger (XRPL)