Los hackers de criptomonedas norcoreanos se han expuesto: se revela el conjunto de herramientas analíticas
La plataforma analítica CryptoQuant registró un evento único: la visita de un usuario con una dirección IP perteneciente a Corea del Norte (RPDC). Este incidente, del que el servicio informó en su cuenta de la plataforma X, arroja luz sobre qué herramientas analíticas interesan exactamente a los hackers de este país cerrado.
Por sí sola, una visita única no permite identificar al usuario. Sin embargo, el contexto y los detalles de esta visita merecen una atención especial. En la captura de pantalla del sistema de análisis Amplitude se ven parámetros clave: el título de la página «Bitcoin: MVRV Ratio», la transición desde google.com, el sistema operativo Mac OS X y el país: Corea del Norte.
Comprender las particularidades internas de internet en la RPDC explica por qué detrás de esta visita probablemente se encuentran hackers profesionales, no un ciudadano común. El acceso a la red mundial en el país es un privilegio de unos pocos elegidos, principalmente aquellos vinculados a estructuras estatales, embajadas o militares. Por eso, una visita desde una dirección IP norcoreana indica con alta probabilidad a un agente estatal.
Detalles de la visita: ¿qué buscaba el usuario norcoreano?
Según la captura de pantalla, el usuario buscó en Google datos sobre la métrica MVRV Ratio (Market Value to Realized Value) y accedió a la página correspondiente de CryptoQuant. Esta métrica compara la capitalización de mercado de un activo con su valor realizado y se utiliza para evaluar si bitcoin está sobrevalorado o infravalorado en relación con el precio medio de adquisición de las monedas. Para qué necesitaba exactamente esta métrica el agente norcoreano sigue siendo un misterio, pero el mero hecho del interés por indicadores fundamentales en cadena dice mucho.
El autor de la publicación en CryptoQuant sugirió que ahora el análisis en cadena lo realizan personas cercanas a la alta dirección del país. Si esta suposición es correcta, el interés por las métricas de mercado se manifiesta al más alto nivel.
Criptomonedas y la RPDC: contexto de la amenaza
La atención a esta publicación se ve reforzada por el contexto general. La RPDC aparece regularmente en los informes de analistas de blockchain debido a la actividad de los criptohackers. Según una versión extendida entre los investigadores, las ciberoperaciones proporcionan al país cerrado y bajo sanciones fondos que son difíciles de obtener por medios legales. Como resultado, los activos digitales se han convertido en un importante recurso económico para Pionyang.
A Pionyang se le vinculan varios grupos, el más conocido de los cuales es Lazarus Group. Se les atribuyen los mayores robos de criptomonedas de la historia, incluida la extracción de más de 600 millones de dólares de la red Ronin (Axie Infinity) en 2022 y el hackeo del exchange Coincheck por unos 534 millones de dólares en 2018. Las propias autoridades de Corea del Norte niegan su implicación en dichos ataques.
Mi comentario como analista: Este incidente no es solo una curiosidad, sino una señal de la creciente sistematización de la amenaza norcoreana. El hecho de que los hackers de la RPDC estudien métricas avanzadas en cadena, como el MVRV Ratio, indica que están pasando de ataques simples a una planificación estratégica basada en el análisis del mercado. Esto los convierte en actores aún más peligrosos e impredecibles para toda la industria cripto.