Autor: ZachXBT, criptodetective Traducción: Golden Finance xiaozou;
Recientemente, un equipo me pidió ayuda después de que alguien robara 1,3 millones de dólares de su bóveda mediante un código malicioso.
Lo que el equipo no sabía era que contrataron como desarrolladores a varios miembros del personal de TI de Corea del Norte con identidades falsas.
Luego descubrí al menos 25 proyectos criptográficos asociados con estos desarrolladores que han estado activos desde junio de 2024.
Los métodos de lavado de dinero en este incidente son los siguientes:
1) Transferir 1,3 millones de dólares a una dirección robada
2) Puentear 1,3 millones de dólares de Solana a Ethereum a través de deBridge
3) Deposite 50,2 ETH en Tornado
4) Transfiera 16,5 ETH a dos intercambios
La dirección robada es:
6USfQ9BX33LNvuR44TXr8XKzyEgervPcF4QtZZfWMnet
Utilizando múltiples direcciones de pago de 21 desarrolladores, pude mapear un grupo de pagos reciente de alrededor de $375,000 durante el último mes.
0 xb721adfc3d9fe01e9b3332183665a503447b1d35
Durante la semana pasada, es posible que también hayas visto que pedí a estos proyectos que se comunicaran conmigo directamente.
Anteriormente, 5,5 millones de dólares fluyeron a una dirección de depósito de divisas que incluía pagos recibidos por personal de TI de Corea del Norte entre julio de 2023 y 2024. La dirección estaba vinculada a la persona sancionada por la OFAC, Sim Hyon Sop.
0x8f0212b1a77af1573c6ccdd8775ac3fd09acf014
Durante la investigación se descubrieron algunas cosas interesantes:
- Los desarrolladores de Estados Unidos y Malasia utilizan la IP de Russian Telecom.
- En el registro de desarrollo revelaron accidentalmente sus otras identidades en el bloc de notas.
- Desarrollar direcciones de pago que involucren a Sang Man Kim y Sim Hyon Sop que están en la lista de sanciones de la OFAC.
- Algunos desarrolladores son contratados por empresas de contratación.
- Varios proyectos tienen más de 3 miembros del personal de TI recomendados mutuamente.
Muchos equipos experimentados emplean a estos desarrolladores, por lo que es injusto señalarlos como culpables.
Algunas métricas en las que los equipos pueden centrarse en el futuro incluyen:
1) Los roles que se recomiendan mutuamente
2) Hermoso currículum/actividad de GitHub, aunque a veces miente sobre la experiencia laboral.
3) A menudo parece feliz de aceptar KYC, pero envía una identificación falsa con la esperanza de que el equipo no investigue más.
4) Haga preguntas específicas sobre de dónde dicen ser.
5) Un desarrollador es despedido, pero inmediatamente aparecen varias cuentas nuevas buscando trabajo.
6) Puede parecer un buen desarrollador a primera vista, pero a menudo se desempeña mal en el trabajo.
7) Ver registros
8) Le gusta utilizar pfps NFT populares
9) acento asiático
En caso de que seas una de esas personas que considera que todo lo que se le atribuye a Corea del Norte es una conspiración gigante.
De todos modos, este estudio demuestra:
En Asia, una entidad puede trabajar en más de 25 proyectos simultáneamente utilizando una identidad falsa, ganando entre 300.000 y 500.000 dólares al mes.
Hacer un seguimiento:
Poco después de la publicación de este artículo, otro proyecto descubrió que habían contratado a una persona de TI norcoreana que figura en mi lista (Naoki Murano), y la dirección del proyecto compartió mi artículo en su chat.
Al final resultó que, en sólo dos minutos, Naoki abandonó el chat y borró su Github.
