El informe enfatiza que Pyongyang no solo se destaca en el robo, sino que también posee métodos sofisticados para liquidar las ganancias ilícitas.
Hackers generan una parte clave de las reservas en moneda extranjera a través de hacks de criptomonedas
El MSMT es una coalición multinacional de 11 países, incluidos EE. UU., Corea del Sur y Japón. Se estableció en octubre de 2024 para apoyar la implementación de sanciones del Consejo de Seguridad de la ONU contra Corea del Norte.
Según el MSMT, los 2,83 mil millones de dólares robados desde 2024 hasta septiembre de 2025 es una cifra crítica.
«Los ingresos por robo de activos virtuales de Corea del Norte en 2024 ascendieron a aproximadamente un tercio del ingreso total en moneda extranjera del país», señaló el equipo .
La escala del robo ha acelerado dramáticamente, con 1,64 mil millones de dólares robados solo en 2025, lo que representa un aumento de más del 50% respecto a los 1,19 mil millones de dólares tomados en 2024, a pesar de que la cifra de 2025 no incluye el último trimestre.
El MSMT identificó el hack de febrero de 2025 al exchange global Bybit como un contribuyente importante al aumento de ingresos ilícitos en 2025. El ataque fue atribuido a TraderTraitor, una de las organizaciones de hackers más sofisticadas de Corea del Norte.
La investigación reveló que el grupo recopiló información relacionada con SafeWallet, el proveedor de monederos multisig utilizado por Bybit. Luego obtuvieron acceso no autorizado a través de correos electrónicos de phishing.
Utilizaron código malicioso para acceder a la red interna, disfrazando transferencias externas como movimientos internos de activos. Esto les permitió tomar el control del contrato inteligente de la cold wallet.
El MSMT señaló que en los principales hacks de los últimos dos años, Corea del Norte a menudo prefiere atacar a proveedores de servicios de terceros conectados a exchanges. Esto se hace en lugar de atacar a los exchanges mismos.
Corea del Norte y su mecanismo de lavado de nueve pasos
El MSMT detalló un meticuloso proceso de lavado de dinero en nueve pasos que Corea del Norte utiliza para convertir los activos virtuales robados en moneda fiduciaria:
- Los atacantes intercambian los activos robados por criptomonedas como ETH en un Exchange Descentralizado (DEX).
- ‘Mezclan’ los fondos utilizando servicios como Tornado Cash, Wasabi Wallet o Railgun.
- Convierten ETH a BTC a través de servicios de puente.
- Mueven los fondos a un cold wallet después de pasar por cuentas de exchanges centralizados.
- Dispersan los activos a diferentes monederos después de una segunda ronda de mezcla.
- Intercambian BTC por TRX (TRON) utilizando intercambios de puente y P2P.
- Convierten TRX a la stablecoin USDT.
- Transfieren el USDT a un bróker Over-the-Counter (OTC).
- El bróker OTC liquida los activos en moneda fiduciaria local.
