Cómo Corea del Norte se infiltró en la industria de las Cripto

• CoinDesk identificó más de una docena de empresas de Cripto que, sin saberlo, contrataron a trabajadores de TI de la República Popular Democrática de Corea (RPDC), incluidos proyectos de blockchain bien establecidos como Injective, ZeroLend, Fantom, SUSHI, Yearn Finanzas y Cosmos Hub.
• Los trabajadores usaron identificaciones falsas, aprobaron entrevistas con éxito, pasaron verificaciones de referencias y presentaron historiales laborales genuinos.
• Contratar trabajadores de la RPDC es ilegal en Estados Unidos y otros países que sancionan a Corea del Norte. Además, representa un riesgo para la seguridad: CoinDesk encontró múltiples ejemplos de empresas que contrataron a trabajadores de TI de la RPDC y posteriormente fueron atacadas por hackers.
• "Todo el mundo está luchando por filtrar a esta gente", dijo Zaki Manian, un destacado desarrollador de blockchain que dice que sin darse cuenta contrató a dos trabajadores de TI de la RPDC para ayudar a desarrollar la cadena de bloques Cosmos Hub en 2021.

La empresa de Cripto Truflation aún estaba en sus primeras etapas en 2023 cuando su fundador, Stefan Rust, sin saberlo, contrató a su primer empleado norcoreano.

"Siempre buscábamos buenos desarrolladores", dijo Rust desde su casa en Suiza. De repente, " un desarrollador apareció".

"Ryuhei" envió su currículum por Telegram y afirmó residir en Japón. Poco después de su contratación, empezaron a surgir extrañas inconsistencias.

En un momento dado, "Hablé con el tipo y me dijo que había estado en un terremoto", recordó Rust. Solo que no había habido ningún terremoto reciente en Japón. Entonces el empleado empezó a perder llamadas, y cuando apareció, "no era él", dijo Rust. "Era otra persona". Quienquiera que fuera, había perdido el acento japonés.

Rust pronto Aprende que "Ryuhei" y otros cuatro empleados —más de un tercio de todo su equipo— eran norcoreanos. Sin saberlo, Rust había sido víctima de un plan coordinado por Corea del Norte para asegurar empleos remotos en el extranjero para su gente y canalizar las ganancias a Pyongyang.

Las autoridades estadounidenses han intensificado recientemente sus advertencias de que los trabajadores de Tecnología de la información (TI) norcoreanos se están infiltrando en empresas tecnológicas, incluidas las que emplean Cripto , y están utilizando las ganancias para financiar el programa de armas nucleares del estado paria. Según un Informe de las Naciones Unidas de 2024Estos trabajadores de TI recaudan hasta 600 millones de dólares anuales para el régimen de Kim Jon Un.

Contratar y pagar a los trabajadores, incluso sin darse cuenta, viola las sanciones de la ONU y es ilegal en Estados Unidos y muchos otros países. Además, representa un grave riesgo para la seguridad, ya que se sabe que los hackers norcoreanos atacan a empresas a través de trabajadores encubiertos.

Una investigación de CoinDesk revela ahora con qué agresividad y frecuencia los solicitantes de empleo norcoreanos han atacado especialmente a las empresas de Cripto , superando con éxito las entrevistas, aprobando los controles de referencias e incluso presentando historiales impresionantes de contribuciones de código en el repositorio de software de código abierto GitHub.

CoinDesk habló con más de una docena de empresas de Cripto que dijeron que inadvertidamente contrataron trabajadores de TI de la República Popular Democrática de Corea (RPDC), como se llama oficialmente a la nación.

Estas entrevistas con fundadores, investigadores de blockchain y expertos de la industria revelan que los trabajadores de TI norcoreanos son mucho más frecuentes en la industria de las Cripto de lo que se creía. Prácticamente todos los responsables de contratación contactados por CoinDesk para este artículo reconocieron haber entrevistado a presuntos desarrolladores norcoreanos, haberlos contratado sin saberlo o haber conocido a alguien que lo había hecho.

"El porcentaje de currículums entrantes, de personas que solicitan trabajo o desean contribuir, o cualquier otra cosa similar, que probablemente provengan de Corea del Norte supera el 50% en toda la industria de las Cripto ", afirmó Zaki Manian, un destacado desarrollador de blockchain que afirma haber contratado inadvertidamente a dos trabajadores de TI de la RPDC para ayudar a desarrollar la blockchain de Cosmos Hub en 2021. "Todo el mundo está teniendo dificultades para filtrar a estas personas".

Entre los empleadores involuntarios de la RPDC identificados por CoinDesk se encontraban varios proyectos de blockchain consolidados, como Cosmos Hub, Injective, ZeroLend, Fantom, SUSHI y Yearn Finanzas. «Todo esto ha estado sucediendo entre bastidores», declaró Manian.

Esta investigación marca la primera vez que alguna de estas empresas reconoce públicamente que contrataron inadvertidamente a trabajadores de TI de la RPDC.

En muchos casos, los trabajadores norcoreanos realizaban su trabajo como empleados normales; por lo que, en cierto sentido, los empleadores recibían lo que pagaban. Sin embargo, CoinDesk encontró evidencia de que posteriormente los trabajadores canalizaban sus salarios a direcciones de blockchain vinculadas al gobierno norcoreano.

La investigación de CoinDesk también reveló varios casos en los que proyectos de Cripto que empleaban a trabajadores de TI de la RPDC fueron posteriormente víctimas de ataques informáticos. En algunos casos, CoinDesk pudo LINK los robos directamente con presuntos trabajadores de TI de la RPDC que figuraban en la nómina de una empresa. Tal fue el caso de SUSHI, un destacado protocolo de Finanzas descentralizadas que perdió 3 millones de dólares en un incidente de piratería informática en 2021.

La Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de los Estados Unidos y laEl Departamento de Justicia comenzó a dar a conocer los intentos de Corea del Norte de infiltrarse en la industria Cripto estadounidense en 2022.CoinDesk descubrió evidencia de que los trabajadores de TI de la RPDC comenzaron a trabajar en empresas de Cripto bajo identidades falsas mucho antes, al menos ya en 2018.

"Creo que mucha gente tiene la impresión errónea de que esto es algo nuevo que surgió de repente", dijo Manian. "Hay cuentas de GitHub y otras cosas con estas personas que se remontan, por ejemplo, a 2016, 2017 y 2018". (GitHub, propiedad de Microsoft, es la plataforma en línea que muchas organizaciones de software utilizan para alojar código y permitir la colaboración entre desarrolladores).

CoinDesk vinculó a trabajadores de TI de la RPDC con empresas mediante diversos métodos, incluyendo registros de pago en blockchain, contribuciones públicas de código de GitHub, correos electrónicos de funcionarios del gobierno estadounidense y entrevistas directas con empresas objetivo. Una de las redes de pago norcoreanas más grandes examinadas por CoinDesk fue descubierta por ZachXBT, un investigador de blockchain que publicó un... Lista de presuntos desarrolladores de la RPDCen agosto.

Anteriormente, los empleadores guardaban silencio por temor a publicidad indeseada o repercusiones legales. Ahora, ante los extensos registros de pagos y otras pruebas descubiertas por CoinDesk, muchos de ellos han decidido dar la cara y compartir sus historias por primera vez, exponiendo el éxito abrumador y la magnitud de los esfuerzos de Corea del Norte por penetrar en la industria de las Cripto .

documentos falsos

Tras contratar a Ryuhei, el empleado aparentemente japonés, Truflation de Rust recibió una avalancha de nuevas solicitudes. En tan solo unos meses, Rust, sin darse cuenta, contrató a cuatro desarrolladores más de la RPDC que afirmaron tener su base en Montreal, Vancouver, Houston y Singapur.

El sector de las Cripto es especialmente vulnerable al sabotaje por parte de los trabajadores de TI norcoreanos. La fuerza laboral es particularmente global, y las empresas de Cripto tienden a sentirse más cómodas que otras contratando desarrolladores completamente remotos, incluso anónimos.

CoinDesk revisó las solicitudes de empleo de la RPDC que las empresas de Cripto recibieron de una variedad de fuentes, incluidas plataformas de mensajería como Telegram y Discord, bolsas de trabajo específicas de criptomonedas como Cripto Jobs List y sitios de contratación como Indeed.

"Donde tienen más éxito para conseguir empleo es entre estos equipos nuevos y prometedores que están dispuestos a contratar a través de Discord", dijo Taylor Monahan, gerente de producto de la aplicación de billeteras Cripto MetaMask, quien publica frecuentemente investigaciones de seguridad relacionadas con la actividad Cripto norcoreana. "No tienen procesos establecidos para contratar personal con verificación de antecedentes. A menudo están dispuestos a pagar en Cripto ".

Rust afirmó haber realizado sus propias verificaciones de antecedentes de todos los nuevos empleados de Truflation. "Nos enviaron sus pasaportes y documentos de ID , nos dieron repositorios de GitHub, pasaron una prueba y, básicamente, los incorporamos".

Para el ojo inexperto, la mayoría de los documentos falsificados parecen indistinguibles de los pasaportes y visas auténticos, aunque los expertos dijeron a CoinDesk que probablemente habrían sido detectados por servicios profesionales de verificación de antecedentes.

Aunque es menos probable que las empresas emergentes recurran a verificadores de antecedentes profesionales, "también vemos trabajadores de TI norcoreanos en empresas más grandes, ya sea como empleados reales o al menos como contratistas", dijo Monahan.

Escondido a plena vista

En muchos casos, CoinDesk descubrió trabajadores de TI de la RPDC en empresas que utilizan datos de blockchain disponibles públicamente.

En 2021, Manian, el desarrollador de blockchain, necesitaba ayuda en su empresa, Iqlusion. Buscó programadores freelance que pudieran ayudarle con un proyecto para actualizar la popular blockchain de Cosmos Hub. Encontró a dos candidatos que cumplieron con creces.

Manian nunca conoció en persona a los freelancers "Jun Kai" y "Sarawut Sanit". Anteriormente, habían trabajado juntos en un proyecto de software de código abierto financiado por THORChain, una red blockchain estrechamente afiliada, y le informaron a Manian que residían en Singapur.

"Hablé con ellos casi a diario durante un año", dijo Manian. "Hicieron el trabajo. Y, francamente, quedé muy satisfecho".

Dos años después de que los freelancers terminaran su trabajo, Manian recibió un correo electrónico de un agente del FBI que investigaba transferencias de tokens que aparentemente provenían de Iqlusion y se dirigían a direcciones sospechosas de monederos de Cripto norcoreanos. Las transferencias en cuestión resultaron ser pagos de Iqlusion a Kai y Sanit.

El FBI nunca le confirmó a Manian que los desarrolladores que había contratado fueran agentes de la RPDC, pero la revisión de CoinDesk de las direcciones blockchain de Kai y Sanit mostró que a lo largo de 2021 y 2022, canalizaron sus ganancias a dos personas en la lista de sanciones de la OFAC:Kim Sang Man y Sim Hyon Sop.

Según la OFACSim es representante de Kwangson Banking Corp, un banco norcoreano que blanquea fondos de trabajadores de TI para ayudar a "Finanzas los programas de armas de destrucción masiva y misiles balísticos de la RPDC". Sarawut parece haber... canalizó todas sus gananciasa Sim y otras billeteras blockchain vinculadas a Sim.

Kai, mientras tanto,canalizó casi 8 millones de dólaresdirectamente a Kim. Según unAviso de la OFAC de 2023Kim es representante de la Compañía de Cooperación en Tecnología de la Información Chinyong, operada por la RPDC, que, "a través de empresas bajo su control y sus representantes, emplea delegaciones de trabajadores de TI de la RPDC que operan en Rusia y Laos".

Los salarios de Iqlusion a Kai representaron menos de $50,000 de los casi $8 millones que envió a Kim, y algunos de los fondos restantes provinieron de otras compañías de Cripto .

Por ejemplo, CoinDesk descubrió pagos de la Fundación Fantom , que desarrolla la blockchain Fantom ampliamente utilizada, a "Jun Kai" y otro desarrollador vinculado a la RPDC.

"Fantom identificó a dos personas externas involucradas con Corea del Norte en 2021", declaró un portavoz de la Fundación Fantom a CoinDesk. "Sin embargo, los desarrolladores en cuestión trabajaron en un proyecto externo que nunca se terminó ni se implementó".

Según la Fundación Fantom , «Las dos personas en cuestión fueron despedidas, nunca aportaron código malicioso ni tuvieron acceso al código base de Fantom, y ningún usuario de Fantom se vio afectado». ONE de los trabajadores de la RPDC intentó atacar los servidores de Fantom, pero fracasó por falta de acceso, según el portavoz.

Según elBase de datos OpenSanctionsLas direcciones de blockchain de Kim vinculadas a la RPDC no fueron publicadas por ningún gobierno hasta mayo de 2023, más de dos años después de que Iqlusion y Fantom realizaran sus pagos.

Se da margen de maniobra

Estados Unidos y la ONU sancionaron la contratación de trabajadores de tecnología de la RPDC en 2016 y 2017, respectivamente.

Es ilegal pagar a trabajadores norcoreanos en Estados Unidos, independientemente de si lo estás haciendo o no: un concepto legal llamado "responsabilidad estricta".

T importa necesariamente dónde esté ubicada una empresa: contratar trabajadores de la RPDC puede conllevar riesgos legales para cualquier empresa que haga negocios en países que apliquen sanciones contra Corea del Norte.

Sin embargo, Estados Unidos y otros estados miembros de la ONU aún no han procesado a ninguna empresa de Cripto por contratar trabajadores de TI norcoreanos.

El Departamento del Tesoro de Estados Unidos abrió una investigación sobre Iqlusion, que tiene su sede en Estados Unidos, pero Manian dice que la investigación concluyó sin ninguna sanción.

Las autoridades estadounidenses han sido indulgentes a la hora de presentar cargos contra las empresas, reconociendo en cierto modo que fueron víctimas, en el mejor de los casos, de un tipo de fraude de identidad inusualmente elaborado y sofisticado, o, en el peor, de una estafa prolongada y del tipo más humillante.

Dejando de lado los riesgos legales, pagar a los trabajadores de TI de la RPDC también es "malo porque estás pagando a personas que básicamente están siendo explotadas por el régimen", explicó Monahan de MetaMask.

Según el Consejo de Seguridad de la ONUInforme de 615 páginasLos trabajadores de TI de la RPDC solo KEEP una pequeña parte de sus salarios. "Quienes ganan menos KEEP con el 10%, mientras que quienes ganan más podrían KEEP con el 30%", afirma el informe.

Aunque estos salarios aún sean altos en comparación con el promedio en Corea del Norte, "no me importa dónde vivan", dijo Monahan. "Si le pago a alguien y literalmente se ve obligado a enviarle todo su sueldo a su jefe, me sentiría muy incómodo. Me sentiría aún más incómodo si su jefe fuera, ya sabes, el régimen norcoreano".

CoinDesk se comunicó con varios trabajadores de TI de la RPDC sospechosos durante el informe, pero no obtuvo respuesta.

Avanzando

CoinDesk identificó más de dos docenas de empresas que emplearon a posibles trabajadores de TI de la RPDC mediante el análisis de los registros de pagos en blockchain a entidades sancionadas por la OFAC. Doce empresas que presentaron los registros confirmaron a CoinDesk que previamente habían detectado a presuntos trabajadores de TI de la RPDC en sus nóminas.

Algunos se negaron a hacer más comentarios por temor a repercusiones legales, pero otros aceptaron compartir sus historias con la esperanza de que otros pudieran Aprende de sus experiencias.

En muchos casos, resultó más fácil identificar a los empleados de la RPDC después de haber sido contratados.

Eric Chen, director ejecutivo de Injective, un proyecto centrado en las finanzas descentralizadas, dijo que contrató a un desarrollador independiente en 2020, pero rápidamente lo despidió por bajo rendimiento.

"No duró mucho", dijo Chen. "Escribía código deficiente que no funcionaba bien". No fue hasta el año pasado, cuando una "agencia gubernamental" estadounidense contactó a Injective, que Chen se enteró de que el empleado tenía vínculos con Corea del Norte.

Varias empresas dijeron a CoinDesk que despidieron a un empleado antes incluso de saber de cualquier vínculo con la RPDC, por ejemplo, debido a un trabajo deficiente.

'Nómina de leche para unos meses'

Sin embargo, los trabajadores de TI de la RPDC son similares a los desarrolladores típicos en que sus aptitudes pueden variar.

Por un lado, hay empleados que "se presentan, superan el proceso de entrevista y simplemente se aprovechan de la nómina para conseguir unos meses de salario", dijo Manian. "También hay otra cara de la moneda: te encuentras con personas que, al entrevistarlas, demuestran tener una sólida formación técnica".

Rust recordó haber tenido en Truflation a un desarrollador realmente bueno que decía ser de Vancouver, pero resultó ser de Corea del Norte. "Era muy joven", dijo Rust. "Parecía recién salido de la universidad. Un BIT inexperto, con muchísimas ganas, muy emocionado por aprovechar esta oportunidad".

En otro caso, Cluster, una startup de Finanzas descentralizadas, despidió a dos desarrolladores en agosto después de que ZachXBT los contactara con evidencia de que estaban vinculados con la RPDC.

"Es realmente increíble cuánto sabían estos tipos", declaró a CoinDesk el fundador seudónimo de Cluster, z3n. En retrospectiva, hubo algunas "claras señales de alerta". Por ejemplo, "cada dos semanas cambiaban su dirección de pago, y aproximadamente cada mes cambiaban su nombre de Discord o de Telegram".

Cámara web apagada

En conversaciones con CoinDesk, muchos empleadores dijeron que notaron anomalías que tenían más sentido cuando se enteraron de que sus empleados probablemente eran norcoreanos.

A veces las pistas eran sutiles, como empleados que tenían horarios de trabajo que no coincidían con su supuesto lugar de trabajo.

Otros empleadores, como Truflation, detectaron indicios de que un empleado era varias personas haciéndose pasar por una sola, algo que el empleado intentaba ocultar apagando su cámara web. (Casi siempre son hombres).

Una empresa contrató a un empleado que se presentaba a las reuniones por la mañana pero parecía olvidar todo lo que se discutía más tarde en el día, una peculiaridad que tenía más sentido cuando el empleador se dio cuenta de que había estado hablando con varias personas.

Cuando Rust planteó sus preocupaciones sobre Ryuhei, su empleado "japonés", a un inversor con experiencia en el seguimiento de redes de pago criminales, el inversor identificó rápidamente a los otros cuatro presuntos trabajadores de TI de la RPDC en la nómina de Truflation.

"Cortamos nuestros vínculos de inmediato", dijo Rust, y añadió que su equipo realizó una auditoría de seguridad de su código, mejoró sus procesos de verificación de antecedentes y modificó ciertas políticas. Una nueva Regulación consistía en exigir a los trabajadores remotos que encendieran sus cámaras.

Un hackeo de 3 millones de dólares

Muchos de los empleadores consultados por CoinDesk tenían la impresión errónea de que los trabajadores de TI de la RPDC operan independientemente del brazo de piratería de Corea del Norte, pero los datos de blockchain y las conversaciones con expertos revelan que las actividades de piratería del régimen y los trabajadores de TI están frecuentemente vinculados.

En septiembre de 2021, MISO, una plataforma creada por SUSHI para lanzar tokens Cripto , perdió $3 millones en un robo ampliamente reportadoCoinDesk encontró evidencia de que el ataque estaba vinculado a la contratación por parte de Sushi de dos desarrolladores con registros de pago de blockchain conectados a Corea del Norte.

En el momento del hackeo, SUSHI era una de las plataformas más comentadas en el emergente mundo de las Finanzas descentralizadas (DeFi). Se habían depositado más de 5 mil millones de dólares en Sushiswap, que funciona principalmente como una plataforma de intercambio descentralizado para intercambiar criptomonedas sin intermediarios.

Joseph Delong, director de Tecnología de Sushi en aquel momento, rastreó el robo de MISO hasta dos desarrolladores independientes que ayudaron a crearlo: individuos con los nombres Anthony Keller y Sava Grujic. Delong afirmó que los desarrolladores —de quienes ahora sospecha que eran una sola persona u organización— inyectaron código malicioso en la plataforma MISO, redirigiendo fondos a una billetera que controlaban.

Cuando Keller y Grujic fueron contratados por SUSHI DAO, la organización autónoma descentralizada que gobierna el protocolo SUSHI , proporcionaron credenciales que parecían bastante típicas, incluso impresionantes, para desarrolladores principiantes.

Keller operaba públicamente bajo el seudónimo "eratos1122", pero cuando solicitó trabajo en MISO usó lo que parecía ser su nombre real: "Anthony Keller". En un currículum que Delong compartió con CoinDesk, Keller afirmaba residir en Gainesville, Georgia, y haberse graduado de la Universidad de Phoenix con una licenciatura en ingeniería informática. (La universidad no respondió a una Request de confirmación sobre si existía algún graduado con ese nombre).

El currículum de Keller incluía referencias genuinas a trabajos previos. Entre los más impresionantes se encontraba Yearn Finanzas, un protocolo de inversión en Cripto extremadamente popular que ofrece a los usuarios una forma de generar intereses con diversas estrategias de inversión predefinidas. Banteg, desarrollador CORE de Yearn, confirmó que Keller trabajó en Coordinape, una aplicación desarrollada por Yearn para ayudar a los equipos a colaborar y facilitar los pagos. (Banteg afirma que el trabajo de Keller se limitaba a Coordinape y que no tenía acceso al código CORE de Yearn).

Keller recomendó a Grujic a MISO y ambos se presentaron como "amigos", según Delong. Al igual que Keller, Grujic presentó un currículum con su supuesto nombre real en lugar de su seudónimo en línea, "AristoK3". Afirmó ser de Serbia y licenciado en informática por la Universidad de Belgrado. Su cuenta de GitHub estaba activa y su currículum incluía experiencia en varios proyectos pequeños de Cripto y startups de videojuegos.

Rachel Chu, ex desarrolladora CORE de SUSHI que trabajó estrechamente con Keller y Grujic antes del robo, dijo que ya "sospechaba" de ambos antes de que se produjera cualquier ataque.

A pesar de afirmar que vivían en lugares tan distantes entre ONE , Grujic y Keller "tenían el mismo acento" y la "misma forma de escribir", dijo Chu. "Cada vez que hablábamos, había ruido de fondo, como si estuvieran en una fábrica", añadió. Chu recordó haber visto la cara de Keller, pero nunca la de Grujic. Según Chu, la cámara de Keller tenía el zoom tan alto que T pudo distinguir qué había detrás de él.

Keller y Grujic finalmente dejaron de contribuir a MISO casi al mismo tiempo. "Pensamos que Anthony y Sava son la misma persona", dijo Delong, "así que dejamos de pagarles". Esto era el punto álgido de la pandemia de COVID-19, y no era raro que desarrolladores de Cripto remotos se hicieran pasar por varias personas para sacar dinero extra de la nómina.

Después de que Keller y Grujic fueron despedidos en el verano de 2021, el equipo de SUSHI se olvidó de revocar su acceso a la base de código MISO.

El 2 de septiembre, Grujic cometió un código malicioso en la plataforma MISO bajo su nombre de pantalla "Aristok3", redirigiendo $3 millones a una nueva billetera de Criptomonedas , según una captura de pantalla proporcionada a CoinDesk.

El análisis de CoinDesk de los registros de pagos en blockchain sugiere un posible LINK entre Keller, Grujic y Corea del Norte. En marzo de 2021, Keller... al corriente Una dirección de blockchain en un tuit ya eliminado. CoinDesk Descubrió múltiples pagos Entre esta dirección, la dirección del hacker de Grujic y las direcciones que SUSHI tenía registradas para Keller. La investigación interna de Sushi concluyó que la dirección pertenecía a Keller, según Delong.

CoinDesk descubrió que la dirección en cuestión envió la mayoría de sus fondos a "Jun Kai" (el desarrollador de Iqlusion que envió dinero a Kim Sang Man, sancionado por la OFAC) y otra billetera que parece servir como proxy de la RPDC (porque también le pagó a Kim).

Para reforzar la teoría de que Keller y Grujic eran norcoreanos, la investigación interna de Sushi descubrió que ambos operaban frecuentemente usando direcciones IP en Rusia, donde, según la OFAC, a veces residen los trabajadores de TI de la RPDC de Corea del Norte. (El número de teléfono estadounidense que figura en el currículum de Keller está fuera de servicio, y sus cuentas de Github y Twitter "eratos1122" han sido eliminadas).

Además, CoinDesk descubrió evidencia de que SUSHI empleó Otro presunto contratista de TI de la RPDCAl mismo tiempo que Keller y Grujic. El desarrollador,identificado por ZachXBTcomo "Gary Lee", codificado bajo el seudónimo LightFury y canalizó sus ganancias a "Jun Kai" y otra dirección proxy vinculada a Kim.

Después de que SUSHI atribuyera públicamente el ataque al seudónimo de Keller, "eratos1122", y amenazara con involucrar al FBI, Grujic devolvió los fondos robadosSi bien podría parecer contradictorio que un trabajador de TI de la RPDC se preocupe por proteger una identidad falsa, los trabajadores de TI de la RPDC parecen reutilizar ciertos nombres y construir su reputación con el tiempo al contribuir a muchos proyectos, quizás como una forma de ganar credibilidad ante futuros empleadores.

Alguien podría haber decidido que proteger el alias de Anthony Keller era más lucrativo a largo plazo: en 2023, dos años después del incidente de SUSHI , alguien llamado "Anthony Keller" presentó su solicitud a Truflation, la empresa de Stefan Rust.

Los intentos de contactar a "Anthony Keller" y "Sava Grujic" para obtener comentarios no tuvieron éxito.

Robos al estilo de la RPDC

Corea del Norte ha robado más de 3000 millones de dólares en Criptomonedas mediante ataques informáticos en los últimos siete años, según la ONU. De los ataques informáticos que la firma de análisis de blockchain Chainalysis ha rastreado en el primer semestre de 2023 y que cree que están relacionados con la RPDC, «aproximadamente la mitad involucraron robos a trabajadores de TI», declaró Madeleine Kennedy, portavoz de la firma.

Los ciberataques norcoreanos no suelen parecerse a la versión hollywoodense del hacking, donde programadores con sudaderas con capucha irrumpen en mainframes usando códigos informáticos sofisticados y terminales de computadora de color negro y verde.

Los ataques al estilo de la RPDC son decididamente de baja tecnología. Suelen implicar algún tipo de ingeniería social, donde el atacante se gana la confianza de una víctima que posee las claves de un sistema y luego las extrae directamente a través de algo tan simple como un LINK de correo electrónico malicioso.

"Hasta la fecha, nunca hemos visto a la RPDC realizar un exploit real", dijo Monahan. "Siempre se trata de ingeniería social, para luego comprometer el dispositivo y, finalmente, las claves privadas".

Los trabajadores de TI están bien posicionados para contribuir a los robos en la RPDC, ya sea extrayendo información personal que podría usarse para sabotear un objetivo potencial o consiguiendo acceso directo a sistemas de software repletos de dinero digital.

Una serie de coincidencias

El 25 de septiembre, cuando este artículo estaba a punto de publicarse, CoinDesk tenía programada una videollamada con Rust de Truflation. El plan era verificar algunos detalles que había compartido previamente.

Rust, nervioso, se unió a la llamada quince minutos tarde. Acababan de hackearlo.

CoinDesk contactó a más de dos docenas de proyectos que aparentemente fueron engañados para contratar a trabajadores de TI de la RPDC. Solo en las últimas dos semanas de informes, dos de esos proyectos fueron hackeados: Truflation y una aplicación de préstamos de Cripto llamada Delta PRIME.

Es demasiado pronto para determinar si alguno de los ataques estuvo directamente relacionado con alguna contratación involuntaria de trabajadores de TI de la RPDC.

Delta PRIME fue violado primero, el 16 de septiembre. CoinDesk había informado previamente pagos descubiertos y contribuciones de código conectando Delta PRIME a Naoki Murano, ONE de los desarrolladores vinculados a la RPDC publicitadopor ZachXBT, el detective seudónimo de blockchain.

El proyecto perdió más de 7 millones de dólares,oficialmente porque de "una clave privada comprometida". Delta PRIME no respondió a numerosas solicitudes de comentarios.

El hackeo de Truflation ocurrió menos de dos semanas después. Rust notó que los fondos salían de su billetera de Cripto unas dos horas antes de la llamada con CoinDesk. Acababa de regresar de un viaje a Singapur y se esforzaba por comprender qué había hecho mal. "No tengo ni idea de cómo sucedió", dijo. "Tenía mis cuadernos guardados en la caja fuerte de la pared del hotel. Llevé mi móvil conmigo todo el tiempo".

Millones de dólares salían de las billeteras personales de Rust mientras hablaba. "Es una verdadera lástima. Son las cuotas de la pensión de mis hijos".

Truflación y óxidoFinalmente perdidoAlrededor de 5 millones de dólares. La causa oficial fue el robo de una clave privada.