Un dispositivo comprometido de un trabajador de TI norcoreano ha expuesto el funcionamiento interno del equipo detrás del hackeo de $680,000 de Favrr y su uso de herramientas de Google para atacar proyectos de criptomonedas.
Resumen
Un dispositivo comprometido perteneciente a un trabajador de TI norcoreano expuso el funcionamiento interno de los actores de amenazas.
La evidencia muestra que los operativos utilizaron herramientas impulsadas por Google, AnyDesk y VPN para infiltrarse en empresas de criptomonedas.
Según el detective de la cadena ZachXBT, el rastro comenzó con una fuente no identificada que obtuvo acceso a uno de los ordenadores de los trabajadores, descubriendo capturas de pantalla, exportaciones de Google Drive y perfiles de Chrome que revelaron cómo los operativos planearon y llevaron a cabo sus esquemas.
Basándose en la actividad de la billetera y emparejando huellas digitales, ZachXBT verificó el material fuente y vinculó las transacciones de criptomonedas del grupo con la explotación en junio de 2025 del mercado de fan-tokens Favrr. Una dirección de billetera, "0x78e1a", mostró vínculos directos con los fondos robados del incidente.
Dentro de la operación
El dispositivo comprometido mostró que el pequeño equipo —un total de seis miembros— compartía al menos 31 identidades falsas. Para conseguir trabajos en desarrollo de blockchain, acumularon identificaciones y números de teléfono emitidos por el gobierno, incluso comprando cuentas de LinkedIn y Upwork para completar su cobertura.
Un guion de entrevista encontrado en el dispositivo mostró que se jactaban de su experiencia en conocidas empresas de blockchain, incluyendo Polygon Labs, OpenSea y Chainlink.
Las herramientas de Google fueron centrales en su flujo de trabajo organizado. Se descubrió que los actores de la amenaza estaban utilizando hojas de cálculo de Drive para rastrear presupuestos y cronogramas, mientras que Google Translate cerraba la brecha lingüística entre el coreano y el inglés.
Entre la información extraída del dispositivo había una hoja de cálculo que mostraba que los trabajadores de TI estaban alquilando computadoras y pagando por acceso a VPN para comprar cuentas nuevas para sus operaciones.
El equipo también confió en herramientas de acceso remoto como AnyDesk, lo que les permitió controlar los sistemas de los clientes sin revelar sus verdaderas ubicaciones. Los registros de VPN ataron su actividad a múltiples regiones, enmascarando las direcciones IP norcoreanas.
Los hallazgos adicionales revelaron que el grupo está buscando formas de desplegar tokens a través de diferentes blockchains, explorando empresas de IA en Europa y mapeando nuevos objetivos en el espacio cripto.
Los actores de amenazas norcoreanos utilizan trabajos remotos
ZachXBT encontró el mismo patrón señalado en múltiples informes de ciberseguridad: trabajadores de TI norcoreanos que consiguen trabajos remotos legítimos para infiltrarse en el sector cripto. Al hacerse pasar por desarrolladores freelance, obtienen acceso a repositorios de código, sistemas backend e infraestructura de billeteras.
Un documento descubierto en el dispositivo eran notas de entrevistas y materiales de preparación que probablemente debían mantenerse en pantalla o cerca durante las llamadas con posibles empleadores.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
Los trabajadores de TI norcoreanos utilizaron más de 30 identidades falsas para atacar a empresas de criptomonedas: informe
Un dispositivo comprometido de un trabajador de TI norcoreano ha expuesto el funcionamiento interno del equipo detrás del hackeo de $680,000 de Favrr y su uso de herramientas de Google para atacar proyectos de criptomonedas.
Resumen
Según el detective de la cadena ZachXBT, el rastro comenzó con una fuente no identificada que obtuvo acceso a uno de los ordenadores de los trabajadores, descubriendo capturas de pantalla, exportaciones de Google Drive y perfiles de Chrome que revelaron cómo los operativos planearon y llevaron a cabo sus esquemas.
Basándose en la actividad de la billetera y emparejando huellas digitales, ZachXBT verificó el material fuente y vinculó las transacciones de criptomonedas del grupo con la explotación en junio de 2025 del mercado de fan-tokens Favrr. Una dirección de billetera, "0x78e1a", mostró vínculos directos con los fondos robados del incidente.
Dentro de la operación
El dispositivo comprometido mostró que el pequeño equipo —un total de seis miembros— compartía al menos 31 identidades falsas. Para conseguir trabajos en desarrollo de blockchain, acumularon identificaciones y números de teléfono emitidos por el gobierno, incluso comprando cuentas de LinkedIn y Upwork para completar su cobertura.
Un guion de entrevista encontrado en el dispositivo mostró que se jactaban de su experiencia en conocidas empresas de blockchain, incluyendo Polygon Labs, OpenSea y Chainlink.
Las herramientas de Google fueron centrales en su flujo de trabajo organizado. Se descubrió que los actores de la amenaza estaban utilizando hojas de cálculo de Drive para rastrear presupuestos y cronogramas, mientras que Google Translate cerraba la brecha lingüística entre el coreano y el inglés.
Entre la información extraída del dispositivo había una hoja de cálculo que mostraba que los trabajadores de TI estaban alquilando computadoras y pagando por acceso a VPN para comprar cuentas nuevas para sus operaciones.
El equipo también confió en herramientas de acceso remoto como AnyDesk, lo que les permitió controlar los sistemas de los clientes sin revelar sus verdaderas ubicaciones. Los registros de VPN ataron su actividad a múltiples regiones, enmascarando las direcciones IP norcoreanas.
Los hallazgos adicionales revelaron que el grupo está buscando formas de desplegar tokens a través de diferentes blockchains, explorando empresas de IA en Europa y mapeando nuevos objetivos en el espacio cripto.
Los actores de amenazas norcoreanos utilizan trabajos remotos
ZachXBT encontró el mismo patrón señalado en múltiples informes de ciberseguridad: trabajadores de TI norcoreanos que consiguen trabajos remotos legítimos para infiltrarse en el sector cripto. Al hacerse pasar por desarrolladores freelance, obtienen acceso a repositorios de código, sistemas backend e infraestructura de billeteras.
Un documento descubierto en el dispositivo eran notas de entrevistas y materiales de preparación que probablemente debían mantenerse en pantalla o cerca durante las llamadas con posibles empleadores.