Nota del editor: Los hackers norcoreanos han sido una gran amenaza para el mercado de criptomonedas. En años anteriores, las víctimas y los profesionales de seguridad solo podían especular sobre los patrones de comportamiento de los hackers norcoreanos a través de eventos de seguridad relevantes en cada edición. Sin embargo, ayer, el conocido investigador en cadena ZachXBT citó en su último tweet el análisis de investigación de un hacker de sombrero blanco que invirtió el hackeo de los hackers norcoreanos, revelando por primera vez desde una perspectiva activa los métodos de "trabajo" de los hackers norcoreanos, lo que podría tener un impacto positivo en la seguridad preventiva de los proyectos de la industria.
A continuación se presenta el contenido completo de ZachXBT, traducido por Odaily Planet Daily.
Un hacker anónimo que no desea revelar su identidad ha infiltrado recientemente el dispositivo de un trabajador de TI en Corea del Norte, exponiendo así cómo un equipo técnico de cinco personas manipula más de 30 identidades falsas para llevar a cabo sus actividades. Este equipo no solo posee documentos de identificación falsos emitidos por el gobierno, sino que también infiltra diversos proyectos de desarrollo a través de la compra de cuentas de Upwork/LinkedIn.
Los investigadores obtuvieron datos de su Google Drive, perfiles de navegador Chrome y capturas de pantalla de dispositivos. Los datos muestran que el equipo depende en gran medida de la serie de herramientas de Google para coordinar horarios de trabajo, asignación de tareas y gestión de presupuestos, y toda la comunicación se realiza en inglés.
Un informe semanal del año 2025 revela el modo de trabajo de este equipo de hackers y las dificultades que encontraron durante el proceso, como que un miembro se quejó de "no poder entender los requisitos del trabajo, no saber qué hacer", y en la sección de soluciones se llenó con "involucrarse sinceramente, esforzarse el doble"...
El registro de detalles de gastos muestra que sus partidas de gasto incluyen la compra de números de seguro social (SSN), transacciones de cuentas de Upwork y LinkedIn, alquiler de números de teléfono, suscripciones a servicios de IA, alquiler de computadoras y adquisiciones de servicios de VPN / proxy, entre otros.
Una de las hojas de cálculo detalla el horario y el guion de conversación para asistir a la reunión bajo la identidad falsa de "Henry Zhang". El proceso operativo muestra que estos trabajadores de IT de Corea del Norte primero adquieren cuentas de Upwork y LinkedIn, alquilan equipos de computadora y luego completan el trabajo de outsourcing a través de la herramienta de control remoto AnyDesk.
Una de las direcciones de cartera que utilizan para enviar y recibir pagos es:
0x78e1a4781d184e7ce6a124dd96e765e2bea96f2c;
Esta dirección tiene una estrecha relación en cadena con el ataque al protocolo Favrr de 680,000 dólares que ocurrió en junio de 2025, y se confirmó posteriormente que su CTO y otros desarrolladores eran trabajadores de TI norcoreanos que portaban documentos falsificados. A través de esta dirección también se identificó a otros trabajadores de TI norcoreanos involucrados en proyectos de infiltración.
Se encontraron las siguientes pruebas clave en los registros de búsqueda del equipo y en el historial del navegador.
Puede que alguien pregunte "¿Cómo confirmar que provienen de Corea del Norte"? Además de todos los documentos fraudulentos detallados anteriormente, su historial de búsqueda también muestra que usan frecuentemente Google Translate y utilizan IPs rusas para traducir al coreano.
En la actualidad, los principales desafíos que enfrentan las empresas para prevenir a los trabajadores de TI de Corea del Norte se centran en los siguientes aspectos:
Falta de colaboración sistemática: falta de mecanismos efectivos de intercambio de información y cooperación entre los proveedores de servicios de la plataforma y las empresas privadas;
Falta de supervisión por parte del empleador: el equipo de recursos humanos a menudo muestra una actitud defensiva tras recibir una advertencia de riesgo, e incluso se niega a cooperar con la investigación;
Ventaja de cantidad: Aunque sus métodos técnicos no son complejos, continúa penetrando en el mercado laboral global gracias a su gran base de solicitantes.
Canales de conversión de fondos: plataformas de pago como Payoneer se utilizan con frecuencia para convertir los ingresos en moneda fiduciaria obtenidos por trabajos de desarrollo en criptomonedas;
Ya he presentado varias veces los indicadores a tener en cuenta, los interesados pueden revisar mis tuits anteriores, así que no repetiré lo que ya he dicho.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
ZachXBT: Después de la Reversión del equipo de Hacker de Corea del Norte, entendí su modo de "trabajo".
Autor: ZachXBT
Compilado por: Azuma, Diario Planetario
Nota del editor: Los hackers norcoreanos han sido una gran amenaza para el mercado de criptomonedas. En años anteriores, las víctimas y los profesionales de seguridad solo podían especular sobre los patrones de comportamiento de los hackers norcoreanos a través de eventos de seguridad relevantes en cada edición. Sin embargo, ayer, el conocido investigador en cadena ZachXBT citó en su último tweet el análisis de investigación de un hacker de sombrero blanco que invirtió el hackeo de los hackers norcoreanos, revelando por primera vez desde una perspectiva activa los métodos de "trabajo" de los hackers norcoreanos, lo que podría tener un impacto positivo en la seguridad preventiva de los proyectos de la industria.
A continuación se presenta el contenido completo de ZachXBT, traducido por Odaily Planet Daily.
Un hacker anónimo que no desea revelar su identidad ha infiltrado recientemente el dispositivo de un trabajador de TI en Corea del Norte, exponiendo así cómo un equipo técnico de cinco personas manipula más de 30 identidades falsas para llevar a cabo sus actividades. Este equipo no solo posee documentos de identificación falsos emitidos por el gobierno, sino que también infiltra diversos proyectos de desarrollo a través de la compra de cuentas de Upwork/LinkedIn.
Los investigadores obtuvieron datos de su Google Drive, perfiles de navegador Chrome y capturas de pantalla de dispositivos. Los datos muestran que el equipo depende en gran medida de la serie de herramientas de Google para coordinar horarios de trabajo, asignación de tareas y gestión de presupuestos, y toda la comunicación se realiza en inglés.
Un informe semanal del año 2025 revela el modo de trabajo de este equipo de hackers y las dificultades que encontraron durante el proceso, como que un miembro se quejó de "no poder entender los requisitos del trabajo, no saber qué hacer", y en la sección de soluciones se llenó con "involucrarse sinceramente, esforzarse el doble"...
El registro de detalles de gastos muestra que sus partidas de gasto incluyen la compra de números de seguro social (SSN), transacciones de cuentas de Upwork y LinkedIn, alquiler de números de teléfono, suscripciones a servicios de IA, alquiler de computadoras y adquisiciones de servicios de VPN / proxy, entre otros.
Una de las hojas de cálculo detalla el horario y el guion de conversación para asistir a la reunión bajo la identidad falsa de "Henry Zhang". El proceso operativo muestra que estos trabajadores de IT de Corea del Norte primero adquieren cuentas de Upwork y LinkedIn, alquilan equipos de computadora y luego completan el trabajo de outsourcing a través de la herramienta de control remoto AnyDesk.
Una de las direcciones de cartera que utilizan para enviar y recibir pagos es:
0x78e1a4781d184e7ce6a124dd96e765e2bea96f2c;
Esta dirección tiene una estrecha relación en cadena con el ataque al protocolo Favrr de 680,000 dólares que ocurrió en junio de 2025, y se confirmó posteriormente que su CTO y otros desarrolladores eran trabajadores de TI norcoreanos que portaban documentos falsificados. A través de esta dirección también se identificó a otros trabajadores de TI norcoreanos involucrados en proyectos de infiltración.
Se encontraron las siguientes pruebas clave en los registros de búsqueda del equipo y en el historial del navegador.
Puede que alguien pregunte "¿Cómo confirmar que provienen de Corea del Norte"? Además de todos los documentos fraudulentos detallados anteriormente, su historial de búsqueda también muestra que usan frecuentemente Google Translate y utilizan IPs rusas para traducir al coreano.
En la actualidad, los principales desafíos que enfrentan las empresas para prevenir a los trabajadores de TI de Corea del Norte se centran en los siguientes aspectos:
Ya he presentado varias veces los indicadores a tener en cuenta, los interesados pueden revisar mis tuits anteriores, así que no repetiré lo que ya he dicho.