ZachXBT expone datos de una red de trabajadores de TI norcoreanos que revelan un flujo cripto de $3.5 millones

El investigador de blockchain ZachXBT publicó el 8 de abril de 2026 un análisis detallado de datos internos exfiltrados desde un servidor de pagos norcoreano, que reveló un esquema que procesa aproximadamente $1 millón por mes en criptomonedas mediante identidades falsas, documentos legales falsificados y sistemas coordinados de conversión cripto a fiat.

El conjunto de datos incluye 390 cuentas, registros de chat y registros de transacciones desde finales de 2025 hasta principios de 2026, con direcciones de monedero rastreadas que procesaron más de $3.5 millones, y enlaces a tres entidades sancionadas actualmente por la Oficina de Control de Activos Extranjeros de Estados Unidos (OFAC).

Los datos del servidor de pagos internos revelan una red coordinada

Una fuente no identificada proporcionó datos extraídos de un servidor de pagos interno utilizado por trabajadores informáticos norcoreanos (DPRK). El conjunto de datos incluye registros de chat de IPMsg, listas de cuentas, historiales del navegador y registros de transacciones. Los usuarios hablaron de una plataforma llamada luckyguys[.]site, descrita como un centro de remesas que funcionaba tanto como herramienta de mensajería como canal de reporte. Los trabajadores enviaban sus ganancias y recibían instrucciones a través de esta plataforma.

La seguridad débil expuso el sistema: varias cuentas usaban la contraseña predeterminada “123456” sin cambios. Los registros de usuario incluían nombres coreanos, ciudades e identificadores de grupo codificados. Tres entidades—Sobaeksu, Saenal y Songkwang—aparecieron en los datos y actualmente están bajo sanciones de la OFAC, vinculando la red con operaciones identificadas previamente.

Una cuenta administrativa identificada como PC-1234 confirmó los pagos y distribuyó credenciales de cuenta, que variaban entre intercambios de criptomonedas y plataformas fintech según las necesidades del usuario.

Los patrones de transacción muestran un flujo constante de $3.5 millones

Desde finales de noviembre de 2025, las direcciones de monederos rastreadas han procesado más de $3.5 millones. El patrón de remesas fue consistente: los usuarios transfirieron cripto desde intercambios o servicios, y luego lo convirtieron a fiat mediante cuentas bancarias chinas o plataformas como Payoneer. PC-1234 confirmó la recepción y proporcionó credenciales de cuenta.

El rastreo en blockchain vinculó varias direcciones de pago con clústeres conocidos de la DPRK. Una dirección de pago de Tron fue congelada por Tether en diciembre de 2025. ZachXBT mapeó la estructura organizativa completa de la red, incluyendo totales de pago por usuario y grupo, basándose en datos de transacciones extraídos desde diciembre de 2025 hasta febrero de 2026.

Identidades falsas, capacitación y coordinación

Los datos de dispositivos comprometidos revelaron personajes falsos, solicitudes de empleo y actividad del navegador. Los trabajadores dependían de herramientas como Astrill VPN para ocultar ubicaciones. Las discusiones internas en Slack mencionaban una publicación de blog sobre un solicitante de empleo deepfake. Una captura de pantalla mostró a 33 trabajadores informáticos de la DPRK comunicándose en la misma red a través de IPMsg.

Un trabajador discutió activamente robarle a un proyecto llamado Arcano (un juego de GalaChain) con otro trabajador informático de la DPRK mediante un proxy nigeriano, aunque sigue sin estar claro si el ataque se materializó. El administrador envió 3.5Módulos de capacitación que cubrían temas de ingeniería inversa, incluyendo Hex‑Rays e IDA Pro, enfocándose en desensamblaje, depuración y análisis de malware, lo que indica un desarrollo técnico continuo dentro de la red.

Comparación con otros grupos de amenazas de la DPRK

ZachXBT señaló que este conjunto de actividades de trabajadores informáticos de la DPRK es menos sofisticado en comparación con grupos como AppleJeus y TraderTraitor, que operan de manera mucho más eficiente y representan los mayores riesgos para la industria. Estimó que los trabajadores informáticos de la DPRK generan cifras de siete dígitos múltiples por mes en ingresos, y los datos respaldan eso. También sugirió que los actores de amenazas están dejando una oportunidad al no atacar a grupos de bajo nivel de la DPRK, citando el bajo riesgo de represalias y una competencia mínima.

Preguntas frecuentes

¿Qué datos expuso ZachXBT sobre trabajadores informáticos norcoreanos?

ZachXBT publicó datos internos de un servidor de pagos norcoreano comprometido, incluyendo 390 cuentas, registros de chat, registros de transacciones e identidades falsas. Los datos revelaron un esquema que procesa aproximadamente $1 millón por mes en criptomonedas, con monederos rastreados que manejaron más de $3.5 millones desde finales de 2025.

¿Qué empresas se identificaron como parte de la red?

Tres entidades—Sobaeksu, Saenal y Songkwang—aparecieron en los datos y actualmente están sancionadas por la Oficina de Control de Activos Extranjeros de Estados Unidos (OFAC), vinculando la red con operaciones de la DPRK identificadas previamente.

¿Qué materiales de capacitación se encontraron en los datos?

El administrador envió 3.5Módulos de capacitación que cubrían ingeniería inversa, desensamblaje, descompilación, depuración local y remota, y análisis de malware usando herramientas como Hex‑Rays e IDA Pro, indicando un desarrollo técnico continuo dentro de la red.