Según un informe publicado por Multilateral Sanctions Monitoring Team (MSMT), hackers vinculados a Corea del Norte robaron la asombrosa cantidad de 2,83 mil millones de dólares en criptomonedas entre 2024 y septiembre de 2025.
El informe enfatiza que Pyongyang no solo se destaca en el robo, sino que también posee métodos sofisticados para liquidar las ganancias ilícitas.
SponsoredHackers generan una parte clave de las reservas en moneda extranjera a través de hacks de criptomonedas
El MSMT es una coalición multinacional de 11 países, incluidos EE. UU., Corea del Sur y Japón. Se estableció en octubre de 2024 para apoyar la implementación de sanciones del Consejo de Seguridad de la ONU contra Corea del Norte.
Según el MSMT, los 2,83 mil millones de dólares robados desde 2024 hasta septiembre de 2025 es una cifra crítica.
“Los ingresos por robo de activos virtuales de Corea del Norte en 2024 ascendieron a aproximadamente un tercio del ingreso total en moneda extranjera del país”, señaló el equipo .
La escala del robo ha acelerado dramáticamente, con 1,64 mil millones de dólares robados solo en 2025, lo que representa un aumento de más del 50% respecto a los 1,19 mil millones de dólares tomados en 2024, a pesar de que la cifra de 2025 no incluye el último trimestre.
El MSMT identificó el hack de febrero de 2025 al exchange global Bybit como un contribuyente importante al aumento de ingresos ilícitos en 2025. El ataque fue atribuido a TraderTraitor, una de las organizaciones de hackers más sofisticadas de Corea del Norte.
La investigación reveló que el grupo recopiló información relacionada con SafeWallet, el proveedor de monederos multisig utilizado por Bybit. Luego obtuvieron acceso no autorizado a través de correos electrónicos de phishing.
Utilizaron código malicioso para acceder a la red interna, disfrazando transferencias externas como movimientos internos de activos. Esto les permitió tomar el control del contrato inteligente de la cold wallet.
SponsoredEl MSMT señaló que en los principales hacks de los últimos dos años, Corea del Norte a menudo prefiere atacar a proveedores de servicios de terceros conectados a exchanges. Esto se hace en lugar de atacar a los exchanges mismos.
Corea del Norte y su mecanismo de lavado de nueve pasos
El MSMT detalló un meticuloso proceso de lavado de dinero en nueve pasos que Corea del Norte utiliza para convertir los activos virtuales robados en moneda fiduciaria:
- Los atacantes intercambian los activos robados por criptomonedas como ETH en un Exchange Descentralizado (DEX).
- ‘Mezclan’ los fondos utilizando servicios como Tornado Cash, Wasabi Wallet o Railgun.
- Convierten ETH a BTC a través de servicios de puente.
- Mueven los fondos a un cold wallet después de pasar por cuentas de exchanges centralizados.
- Dispersan los activos a diferentes monederos después de una segunda ronda de mezcla.
- Intercambian BTC por TRX (TRON) utilizando intercambios de puente y P2P.
- Convierten TRX a la stablecoin USDT.
- Transfieren el USDT a un bróker Over-the-Counter (OTC).
- El bróker OTC liquida los activos en moneda fiduciaria local.
La etapa más desafiante es convertir cripto en fiat utilizable. Esto se logra utilizando brókeres OTC y compañías financieras en países terceros, incluidos China, Rusia y Camboya.
El informe nombró a individuos específicos. Estos incluyen a los ciudadanos chinos Ye Dinrong y Tan Yongzhi de Shenzhen Chain Element Network Technology y al trader P2P Wang Yicong.
Supuestamente cooperaron con entidades norcoreanas para proporcionar identificaciones fraudulentas y facilitar el lavado de activos. También se implicaron intermediarios rusos en la liquidación de aproximadamente 60 millones de dólares del hack de Bybit.
Además, Huione Pay, un proveedor de servicios financieros bajo el Grupo Huione de Camboya, fue utilizado para el lavado de dinero.
“Un ciudadano norcoreano mantuvo una relación personal con asociados de Huione Pay y cooperó con ellos para retirar activos virtuales a finales de 2023,” declaró el MSMT.
El MSMT planteó preocupaciones al gobierno de Camboya en octubre y diciembre de 2024. Estas preocupaciones se referían a las actividades de Huione Pay apoyando a hackers cibernéticos norcoreanos designados por la ONU. Como resultado, el Banco Nacional de Camboya se negó a renovar la licencia de pago de Huione Pay. Sin embargo, la empresa continúa operando en el país.
