El conocido detective on-chain ZachXBT cita la investigación de un hacker de sombrero blanco, revelando cómo un equipo de cinco hackers de Corea del Norte manipula identidades falsas para infiltrarse en proyectos de desarrollo. Este artículo analiza en profundidad su modelo de trabajo, detalles de gastos y flujos de fondos, proporcionando información clave para prevenir tales amenazas. Este artículo se basa en un escrito de ZachXBT, organizado, traducido y redactado por Azuma, el periódico Odaily. (Resumen: ¡Microsoft se une al FBI para combatir el fraude de hackers norcoreanos! Se congelan 3,000 cuentas, se captura a un 'cómplice trabajador' en EE. UU.) (Contexto adicional: ¡BitoPro fue hackeado y se investiga que es el Lazarus de Corea del Norte! Un ataque de ingeniería social robó 11.5 millones de dólares) Los hackers norcoreanos han sido una gran amenaza para el mercado de las criptomonedas. En años anteriores, las víctimas y los profesionales de seguridad solo podían inferir el comportamiento de los hackers norcoreanos a través de incidentes de seguridad relacionados. Sin embargo, ayer, el conocido detective on-chain ZachXBT, en un tuit reciente, citó a un hacker de sombrero blanco que analizó la investigación para contraatacar a los hackers norcoreanos, revelando por primera vez desde una perspectiva activa el 'trabajo' de los hackers norcoreanos, lo que puede tener un significado positivo en la preparación de seguridad para proyectos de la industria. A continuación se presenta el contenido completo de ZachXBT, traducido por el periódico Odaily. Un hacker anónimo que no desea ser identificado ha infiltrado recientemente el equipo de un trabajador de TI norcoreano, exponiendo cómo un equipo técnico de cinco personas manipula más de 30 identidades falsas para llevar a cabo actividades. Este equipo no solo posee documentos de identidad falsos emitidos por el gobierno, sino que también infiltra diversos proyectos de desarrollo a través de la compra de cuentas de Upwork/LinkedIn. Los investigadores obtuvieron datos de su Google Drive, configuraciones del navegador Chrome y capturas de pantalla del dispositivo. Los datos muestran que el equipo depende en gran medida de herramientas de Google para coordinar agendas de trabajo, asignación de tareas y gestión de presupuestos, y toda la comunicación se realiza en inglés. Un documento semanal de 2025 reveló el modelo de trabajo del equipo de hackers y las dificultades encontradas durante ese tiempo, como miembros que se quejaron de 'no poder entender los requisitos del trabajo y no saber qué hacer', mientras que la columna de soluciones correspondientes simplemente decía 'involúcrate y trabaja el doble'... Los registros de gastos indican que sus partidas de gastos incluyen la compra de un número de seguro social (, transacciones de cuentas de Upwork y LinkedIn, alquiler de números de teléfono, suscripciones a servicios de IA, alquiler de computadoras y adquisición de servicios de VPN/proxy, entre otros. Una hoja de cálculo detalla la programación y el guion de un encuentro en el que se usó la identidad falsa 'Henry Zhang'. El flujo de operaciones muestra que estos trabajadores de TI norcoreanos primero adquieren cuentas de Upwork y LinkedIn, alquilan equipos de computadora y luego completan trabajos subcontratados a través de herramientas de control remoto como AnyDesk. Una de las direcciones de billetera que utilizan para enviar y recibir pagos es: 0x78e1a4781d184e7ce6a124dd96e765e2bea96f2c; esta dirección está estrechamente relacionada con el ataque al protocolo Favrr de 680,000 dólares que ocurrió en junio de 2025, donde se confirmó que su CTO y otros desarrolladores eran trabajadores de TI norcoreanos con documentos falsificados. A través de esta dirección, también se identificaron otros trabajadores de TI norcoreanos involucrados en proyectos de infiltración. También se encontraron las siguientes pruebas clave en los registros de búsqueda y el historial del navegador del equipo. Puede que algunos se pregunten '¿cómo confirmar que son de Corea del Norte?' Aparte de todos los documentos fraudulentos mencionados anteriormente, su historial de búsqueda también muestra que usan frecuentemente Google Translate y traducen al coreano utilizando IPs rusas. En la actualidad, los principales desafíos que enfrentan las empresas para prevenir a los trabajadores de TI norcoreanos se centran en los siguientes aspectos: falta de colaboración sistemática: falta de un mecanismo efectivo de intercambio y cooperación de información entre proveedores de servicios de plataformas y empresas privadas; descuido de los empleadores: los equipos de contratación suelen mostrar una actitud defensiva tras recibir alertas de riesgo, e incluso se niegan a cooperar con las investigaciones; impacto de la ventaja numérica: aunque sus métodos técnicos no son complejos, continúan infiltrándose en el mercado laboral global gracias a una gran base de solicitantes; canales de conversión de fondos: plataformas de pago como Payoneer se utilizan con frecuencia para convertir ingresos en moneda fiat obtenidos de trabajos de desarrollo en criptomonedas; He mencionado repetidamente los indicadores a tener en cuenta, y aquellos interesados pueden revisar mis tuits históricos, así que no me repetiré aquí. Informes relacionados Google Cloud advierte: los ataques de espionaje de TI norcoreanos se están expandiendo, las empresas globales deben estar en alerta. La tasa de penetración de Internet más baja en el mundo: ¿por qué los hackers norcoreanos Lazarus son tan fuertes? Rompen repetidamente las redes de seguridad de grandes empresas, Lazarus se convierte en la máquina de hacer dinero de Kim Jong-un para desarrollar armas nucleares. Las reservas de Bitcoin de Corea del Norte aumentan en 13,000 monedas, 'se convierte en el tercer país con mayores reservas', solo detrás de EE. UU. y Reino Unido, ¿cómo impactan los hackers Lazarus en la carrera armamentista de criptomonedas a nivel global? <ZachXBT: después de contraatacar los dispositivos de hackers norcoreanos, entendí su 'modelo de trabajo'> este artículo se publicó por primera vez en BlockTempo.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
ZachXBT en su totalidad: Después de hackear el equipo de los hackers norcoreanos, entendí su modo de "trabajo".
El conocido detective on-chain ZachXBT cita la investigación de un hacker de sombrero blanco, revelando cómo un equipo de cinco hackers de Corea del Norte manipula identidades falsas para infiltrarse en proyectos de desarrollo. Este artículo analiza en profundidad su modelo de trabajo, detalles de gastos y flujos de fondos, proporcionando información clave para prevenir tales amenazas. Este artículo se basa en un escrito de ZachXBT, organizado, traducido y redactado por Azuma, el periódico Odaily. (Resumen: ¡Microsoft se une al FBI para combatir el fraude de hackers norcoreanos! Se congelan 3,000 cuentas, se captura a un 'cómplice trabajador' en EE. UU.) (Contexto adicional: ¡BitoPro fue hackeado y se investiga que es el Lazarus de Corea del Norte! Un ataque de ingeniería social robó 11.5 millones de dólares) Los hackers norcoreanos han sido una gran amenaza para el mercado de las criptomonedas. En años anteriores, las víctimas y los profesionales de seguridad solo podían inferir el comportamiento de los hackers norcoreanos a través de incidentes de seguridad relacionados. Sin embargo, ayer, el conocido detective on-chain ZachXBT, en un tuit reciente, citó a un hacker de sombrero blanco que analizó la investigación para contraatacar a los hackers norcoreanos, revelando por primera vez desde una perspectiva activa el 'trabajo' de los hackers norcoreanos, lo que puede tener un significado positivo en la preparación de seguridad para proyectos de la industria. A continuación se presenta el contenido completo de ZachXBT, traducido por el periódico Odaily. Un hacker anónimo que no desea ser identificado ha infiltrado recientemente el equipo de un trabajador de TI norcoreano, exponiendo cómo un equipo técnico de cinco personas manipula más de 30 identidades falsas para llevar a cabo actividades. Este equipo no solo posee documentos de identidad falsos emitidos por el gobierno, sino que también infiltra diversos proyectos de desarrollo a través de la compra de cuentas de Upwork/LinkedIn. Los investigadores obtuvieron datos de su Google Drive, configuraciones del navegador Chrome y capturas de pantalla del dispositivo. Los datos muestran que el equipo depende en gran medida de herramientas de Google para coordinar agendas de trabajo, asignación de tareas y gestión de presupuestos, y toda la comunicación se realiza en inglés. Un documento semanal de 2025 reveló el modelo de trabajo del equipo de hackers y las dificultades encontradas durante ese tiempo, como miembros que se quejaron de 'no poder entender los requisitos del trabajo y no saber qué hacer', mientras que la columna de soluciones correspondientes simplemente decía 'involúcrate y trabaja el doble'... Los registros de gastos indican que sus partidas de gastos incluyen la compra de un número de seguro social (, transacciones de cuentas de Upwork y LinkedIn, alquiler de números de teléfono, suscripciones a servicios de IA, alquiler de computadoras y adquisición de servicios de VPN/proxy, entre otros. Una hoja de cálculo detalla la programación y el guion de un encuentro en el que se usó la identidad falsa 'Henry Zhang'. El flujo de operaciones muestra que estos trabajadores de TI norcoreanos primero adquieren cuentas de Upwork y LinkedIn, alquilan equipos de computadora y luego completan trabajos subcontratados a través de herramientas de control remoto como AnyDesk. Una de las direcciones de billetera que utilizan para enviar y recibir pagos es: 0x78e1a4781d184e7ce6a124dd96e765e2bea96f2c; esta dirección está estrechamente relacionada con el ataque al protocolo Favrr de 680,000 dólares que ocurrió en junio de 2025, donde se confirmó que su CTO y otros desarrolladores eran trabajadores de TI norcoreanos con documentos falsificados. A través de esta dirección, también se identificaron otros trabajadores de TI norcoreanos involucrados en proyectos de infiltración. También se encontraron las siguientes pruebas clave en los registros de búsqueda y el historial del navegador del equipo. Puede que algunos se pregunten '¿cómo confirmar que son de Corea del Norte?' Aparte de todos los documentos fraudulentos mencionados anteriormente, su historial de búsqueda también muestra que usan frecuentemente Google Translate y traducen al coreano utilizando IPs rusas. En la actualidad, los principales desafíos que enfrentan las empresas para prevenir a los trabajadores de TI norcoreanos se centran en los siguientes aspectos: falta de colaboración sistemática: falta de un mecanismo efectivo de intercambio y cooperación de información entre proveedores de servicios de plataformas y empresas privadas; descuido de los empleadores: los equipos de contratación suelen mostrar una actitud defensiva tras recibir alertas de riesgo, e incluso se niegan a cooperar con las investigaciones; impacto de la ventaja numérica: aunque sus métodos técnicos no son complejos, continúan infiltrándose en el mercado laboral global gracias a una gran base de solicitantes; canales de conversión de fondos: plataformas de pago como Payoneer se utilizan con frecuencia para convertir ingresos en moneda fiat obtenidos de trabajos de desarrollo en criptomonedas; He mencionado repetidamente los indicadores a tener en cuenta, y aquellos interesados pueden revisar mis tuits históricos, así que no me repetiré aquí. Informes relacionados Google Cloud advierte: los ataques de espionaje de TI norcoreanos se están expandiendo, las empresas globales deben estar en alerta. La tasa de penetración de Internet más baja en el mundo: ¿por qué los hackers norcoreanos Lazarus son tan fuertes? Rompen repetidamente las redes de seguridad de grandes empresas, Lazarus se convierte en la máquina de hacer dinero de Kim Jong-un para desarrollar armas nucleares. Las reservas de Bitcoin de Corea del Norte aumentan en 13,000 monedas, 'se convierte en el tercer país con mayores reservas', solo detrás de EE. UU. y Reino Unido, ¿cómo impactan los hackers Lazarus en la carrera armamentista de criptomonedas a nivel global? <ZachXBT: después de contraatacar los dispositivos de hackers norcoreanos, entendí su 'modelo de trabajo'> este artículo se publicó por primera vez en BlockTempo.