El rastreador analítico CryptoQuant detectó a un hacker norcoreano: qué buscaba y por qué es importante
La plataforma de análisis blockchain CryptoQuant registró una visita anómala. Un usuario de Corea del Norte, operando con una dirección IP de la RPDC, accedió a la página de la métrica MVRV Ratio de Bitcoin. Este caso no es solo una anomalía estadística, sino una rara oportunidad para vislumbrar las herramientas e intereses de los grupos cibernéticos norcoreanos.
Una captura de pantalla del sistema Amplitude, publicada en la red social X, revela los detalles de la sesión: el título de la página «Bitcoin: MVRV Ratio», la transición desde google.com, el sistema operativo Mac OS X y, por supuesto, el país: Corea del Norte. El autor de la publicación supuso razonablemente que detrás de esta visita se encontraban hackers profesionales, no un ciudadano común.
¿Por qué es lógico? En la RPDC, el acceso a la red mundial es un privilegio de un círculo reducido de personas vinculadas a estructuras estatales, militares o diplomáticas. Un ciudadano común no puede simplemente conectarse a internet. Por lo tanto, una visita desde una dirección IP norcoreana indica con alta probabilidad a un agente estatal.
¿Qué buscaba exactamente el usuario norcoreano?
Según los datos, el usuario buscó en Google información sobre la métrica MVRV Ratio y accedió a la página correspondiente de CryptoQuant. El MVRV Ratio (Market Value to Realized Value) compara la capitalización de mercado de un activo con su valor realizado y se utiliza para evaluar si Bitcoin está sobrevalorado o infravalorado en relación con el precio medio de adquisición de las monedas.
¿Para qué necesitaba esta métrica un norcoreano? No se conoce la respuesta exacta. Sin embargo, el contexto es extremadamente revelador. La RPDC aparece regularmente en los informes de analistas blockchain debido a la actividad de criptohackers. Según una versión ampliamente extendida, las operaciones cibernéticas proporcionan al país aislado y sancionado fondos que son difíciles de obtener por medios legales. Los activos digitales se han convertido en un recurso económico importante para Pyongyang.
Varios grupos están vinculados a la RPDC, el más famoso de los cuales es el Grupo Lazarus. Se les atribuyen los mayores robos de criptomonedas de la historia, incluida la extracción de más de $600 millones de la red Ronin (Axie Infinity) en 2022 y el hackeo del exchange Coincheck por aproximadamente $534 millones en 2018. Las propias autoridades de Corea del Norte niegan su participación en dichos ataques.
Una visita aislada, por supuesto, no permite identificar al usuario ni confirma directamente un vínculo con estructuras estatales. La determinación del país por dirección IP solo indica el punto de salida a la red, no a una persona específica. Pero en combinación con el contexto general de las ciberamenazas de la RPDC, este caso es un recordatorio más de que los hackers norcoreanos monitorean activamente las métricas del mercado, posiblemente para planificar sus operaciones o evaluar el mercado.
Opinión de experto de Cryptalist: Este incidente subraya que los grupos cibernéticos norcoreanos no solo son técnicamente avanzados, sino que también tienen un profundo conocimiento analítico. El interés en el MVRV Ratio sugiere que siguen las señales macroeconómicas de Bitcoin para elegir los momentos óptimos para liquidar los fondos robados. El mercado debe prepararse para que las acciones de estos actores sean cada vez más sofisticadas y estén vinculadas a los ciclos del mercado.