En los últimos años, la creciente importancia de las criptomonedas ha provocado una intensa actividad entre actores maliciosos que buscan beneficiarse de este sector en auge. Recientemente, se ha descubierto un caso alarmante de espionaje cibernético relacionado con Corea del Norte, donde piratas informáticos crearon empresas ficticias en Estados Unidos para atraer y comprometer a desarrolladores de criptomonedas mediante técnicas avanzadas de engaño y ataques con malware. Esta operación revela la audacia y sofisticación con la que el régimen norcoreano emplea sus capacidades cibernéticas para evadir sanciones, obtener ingresos ilícitos y ampliar su influencia internacional mediante el robo de propiedad intelectual y activos digitales. Estas firmas falsas, identificadas como Blocknovas LLC y Softglide LLC, fueron registradas en los estados de Nuevo México y Nueva York, respectivamente, utilizando direcciones y datos ficticios para simular operaciones legítimas. Según informes del equipo de investigación de Silent Push, una compañía de ciberseguridad estadounidense, estas entidades sirvieron como una fachada corporativa que permitía a los hackers norcoreanos atraer a desarrolladores en busca de trabajo en el sector de las criptomonedas, ofreciéndoles supuestas oportunidades laborales.
Sin embargo, estos empleos eran una trampa diseñada para infectar sus equipos con malware que robaba información sensible, incluidos detalles sobre billeteras digitales y credenciales de acceso. La operación está vinculada a un subgrupo del conocido Lazarus Group, un conjunto de hackers norcoreanos con un historial extenso de ataques a nivel internacional. Esta facción está bajo el mando del Reconnaissance General Bureau, la principal agencia de inteligencia extranjera del país, responsable de una amplia variedad de ataques cibernéticos dirigidos a objetivos financieros y políticos. La capacidad de este grupo para establecer empresas legítimas dentro de Estados Unidos es inusual y demuestra un nivel elevado de planificación y ejecución. Según Kasey Best, directora de inteligencia de amenazas en Silent Push, este caso representa un raro ejemplo de cómo los hackers norcoreanos han logrado superar las barreras legales y regulatorias para establecer entidades comerciales y utilizarlas como frentes para sus actividades ilícitas.
El FBI, aunque no hizo comentarios específicos sobre las empresas Blocknovas o Softglide, procedió a incautar el dominio web de Blocknovas como parte de una acción legal contra actores cibernéticos norcoreanos que usaban esta plataforma para publicar falsas ofertas de empleo y distribuir software malicioso. Fuentes cercanas a la investigación afirmaron que la agencia federal continúa enfocándose en imponer riesgos y consecuencias tanto a los actores norcoreanos directos como a cualquier persona o entidad que facilite la realización de estas operaciones maliciosas. El impacto potencial de estos ataques es significativo, dado que comprometer el acceso y las billeteras digitales de los desarrolladores puede tener repercusiones en cadenas de suministro digitales y en la seguridad de empresas legítimas que dependen de estos profesionales. Las técnicas de infección utilizadas incluyen varias cepas de malware previamente asociadas a grupos norcoreanos, diseñadas para robar información, facilitar el acceso no autorizado a redes y desplegar otras variedades de software malicioso críticas para mantener el control del sistema comprometido. Además de su impacto en el sector tecnológico, estas acciones representan una clara violación a las sanciones internacionales impuestas a Corea del Norte.
La creación de empresas registradas formalmente en Estados Unidos por actores vinculados al régimen norcoreano infringe las regulaciones de la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro, así como sanciones de las Naciones Unidas que prohíben actividades comerciales diseñadas para beneficiar directa o indirectamente al gobierno norcoreano o sus esfuerzos militares. Este tipo de operaciones se enmarca dentro de un patrón más amplio de actividades ilícitas que Pyongyang lleva a cabo para financiar sus programas estratégicos, en especial el desarrollo de misiles nucleares y otras capacidades militares. Además del robo directo a través de ataques cibernéticos, se sabe que Corea del Norte envía a miles de técnicos informáticos al extranjero para realizar trabajos que generan ingresos destinados a sostener estas ambiciones. El uso de criptomonedas ha ganado especial relevancia para el régimen, ya que proporciona cierto nivel de anonimato y dificulta la trazabilidad financiera, convirtiéndose en un vehículo favorito para operaciones encubiertas y evasión de controles internacionales. Por su parte, los estados de Nueva York y Nuevo México, donde se registraron estas empresas, no emitieron comentarios específicos sobre las compañías ni sus registros.
Documentos públicos muestran que las direcciones proporcionadas eran falsas o carecían de actividad comercial verdadera, como en el caso de Blocknovas, que está vinculada a un lote vacío en Carolina del Sur. Este nivel de anonimato y falsificación de datos corporativos ha dificultado la detección temprana de estas entidades por parte de reguladores y autoridades. El descubrimiento de esta campaña demuestra la constante evolución de las tácticas de los ciberactores norcoreanos, quienes adaptan sus métodos para burlar las defensas y maximizar el impacto financiero y estratégico de sus operaciones. El interés particular en atacar desarrolladores de criptomonedas no es casual; estos profesionales poseen acceso a activos digitales de gran valor y a herramientas críticas para la creación y el mantenimiento de infraestructuras blockchain y aplicaciones financieras descentralizadas. En este contexto, la ciberseguridad en la industria de criptomonedas emerge como un tema prioritario para empresas, reguladores y gobiernos.
