El Departamento del Tesoro de EE. UU. Sancionó el 12 de marzo de 2026 a seis individuos y dos entidades por su participación en esquemas de fraude laboral de TI orquestados por el gobierno norcoreano. Estos esquemas, que apuntaron sistemáticamente a empresas estadounidenses, generaron casi 800 millones de dólares en 2024 para financiar los programas de armas de destrucción masiva (ADM) y misiles balísticos de la República Popular Democrática de Corea (RPDC).
Cómo operan los esquemas de trabajadores de TI de la RPDC
Los esquemas de trabajadores de TI norcoreanos representan una amenaza sofisticada y creciente para las empresas estadounidenses. Equipos de TI facilitados por la RPDC utilizan documentación fraudulenta, identidades robadas y personalidades fabricadas para ocultar sus verdaderas identidades y obtener empleo en empresas legítimas en todo el mundo, incluidos los Estados Unidos. El gobierno de la RPDC supuestamente se apropia de la mayor parte de los salarios ganados por estos trabajadores en el extranjero, canalizando cientos de millones de dólares para apoyar los programas de armas del régimen, en violación de las sanciones de EE. UU. Y de las Naciones Unidas.
Además de generar ingresos a través del empleo fraudulento, se sabe que estos trabajadores introducen encubiertamente malware en las redes de las empresas para extraer información confidencial y patentada. En algunos casos, han utilizado estos datos para extorsionar a las empresas a cambio de importantes pagos.
Las criptomonedas siguen siendo un facilitador clave
Las criptomonedas desempeñan un papel central en el traslado de fondos generados por estos esquemas de trabajadores de TI de regreso a Corea del Norte, al tiempo que evitan las sanciones internacionales. La designación de hoy incluye 21 direcciones de criptomonedas en múltiples blockchains, lo que destaca el enfoque multi-cadena que utilizan los operativos de la RPDC para mover y oscurecer los fondos.
Nguyen Quang Viet, CEO de Quangvietdnbg International Services Company Limited, con sede en Vietnam, facilitó los servicios de conversión de divisas para norcoreanos. Según la OFAC, entre mediados de 2023 y mediados de 2025, Nguyen convirtió aproximadamente 2,5 millones de dólares en criptomonedas para el régimen, incluidos ingresos ilícitos de trabajadores de TI asociados con Amnokgang Technology Development Company (Amnokgang), una empresa de TI de la RPDC que gestiona delegaciones de trabajadores de TI en el extranjero.
Amnokgang, establecida en 1982, tuvo siete direcciones de criptomonedas designadas hoy en las redes Ethereum y Tron:
Ethereum:
- 0xcB74874f1e06Fcf80A306e06e5379A44B488bA2D
- 0x0330070FD38Ec3bB94F58FA55D40368271E9e54A
- 0x9Be599d7867f5E1a2D7Ec6dB9710dF2b98A15573
Tron:
- TNrX2FwrHKoo4XACGkmSzqeK4pdnKYn6Z7
- TEEYCuGDyeNkuDj4u6GQRXxXo3Nh29r2vP
- TZB4NrX7k9ZsV6PRc1GigAztLL8WHpLvwP
- TDe2UNAvuUnTbbDo7518eMe3TXN5qJW8Ft
Yun Song Guk, un ciudadano de la RPDC que lideró un grupo de trabajadores de TI norcoreanos que operan desde Boten, Laos, desde al menos 2023, tuvo dos direcciones de Ethereum designadas:
- 0xb637f84b66876ebf609c2a4208905f9ddac9d075
- 0x95584C303FCd48AF5c6B9873015f2AD0ca84EaE3
Hoang Minh Quang, quien coordinó transacciones financieras por más de 70.000 dólares con Yun relacionadas con servicios de TI, tuvo una dirección de Bitcoin designada:
- bc1qyy5pt5cx3zth8xlj92lq5y87dh8xv3nwgs4ncq
Además, la OFAC actualizó la entrada de Sim Hyon Sop, previamente designado, un representante con sede en China de Korea Kwangson Banking Corp (KKBC) de la OFAC SDN, agregando 11 nuevas direcciones de criptomonedas en las redes Ethereum y Tron:
Ethereum:
- 0xd04E33461FEA8302c5E1e13895b60cEe8AEfda7F
- 0x76EA76CA4Eb727f18956aB93445a94c5280412B9
- 0xFb3eFf152ea55D1BfA04Dbdd509A80fD7b72cdEB
- 0xFda1Ec4A6178d4916b001a065422D31EBE5F62FF
- 0x747AFB5c7A7fc34B547cD0FDEbf9b91759C5a52b
Tron:
- TPDLpXxPcaSsupEZ3yrVksmNkYP5SLeKxu
- TGXE9dGWawjfd3xqFSho1h1bRbRv9wUGrF
- TNTFhgFoKH4srBMiWbfrVFqP2AThSmdwf1
- TXhf9nU9bjo1j9z5qEesHdr6gtdndfnA4T
- TK17wfSPp32RWrnzZPrGpv7TxdNFvvvE2s
- TYeQD2VddTZ9NkFkAnT9DD8cUGetGUQZB2
Patrones de explotación de criptomonedas por parte de la RPDC
Esta acción forma parte del esfuerzo continuo del Tesoro para contrarrestar el abuso de criptomonedas y activos digitales por parte de Corea del Norte para la evasión de sanciones. La RPDC ha recurrido cada vez más a esquemas relacionados con las criptomonedas para generar ingresos, incluido el fraude laboral de TI, los robos cibernéticos patrocinados por el estado por grupos como Lazarus Group y los ataques de ransomware que exigen pagos en criptomonedas. La investigación de Chainalysis ha documentado la creciente sofisticación de la RPDC en el robo y el lavado de criptomonedas, con hackers norcoreanos responsables de algunos de los mayores robos de criptomonedas registrados.
La designación de direcciones en múltiples redes blockchain refleja el enfoque cada vez más multi-cadena de la RPDC para mover fondos. Las empresas de criptomonedas deben examinar a todas las contrapartes en relación con las listas de sanciones de la OFAC actualizadas, estar atentas a los patrones coherentes con el fraude laboral de TI y supervisar los patrones de pago inusuales. La diligencia debida reforzada para los servicios de criptomonedas que operan en el sudeste asiático es particularmente importante, dados los redes identificadas en la acción de hoy. Para obtener más indicadores de alerta, las empresas deben revisar el anuncio de servicio público de enero de 2025 de la FBI y la Asesoría sobre Trabajadores de TI de mayo de 2022 emitida por los Departamentos de Estado, Tesoro y Justicia.
Hemos etiquetado las direcciones de criptomonedas designadas en nuestra suite de productos y hemos actualizado nuestras soluciones de detección para incluir a todos los individuos y entidades designados en la acción de hoy. La exposición al envío y recepción de estas direcciones activará alertas de sanciones para los clientes de KYT, según sus reglas de alerta configuradas.
Si desea obtener más información sobre cómo los productos de Chainalysis pueden ayudar a proteger a su organización del riesgo de sanciones y detectar actividades relacionadas con la RPDC, solicite una demostración.
La entidad y los individuos sancionados en la designación de hoy dependieron en gran medida de una variedad de servicios de criptomonedas convencionales para facilitar sus esquemas, incluidos los intercambios compatibles, las billeteras alojadas, los servicios DeFi y los puentes entre cadenas. Como se muestra en el gráfico de Chainalysis Reactor a continuación, las direcciones pertenecientes a Amnokgang, que gestiona delegaciones de trabajadores de TI en el extranjero y otras actividades de adquisición ilícitas, también aprovecharon los servicios de movimiento del sudeste asiático y recibieron fondos posteriores de un hackeo sospechoso de la RPDC.
Este sitio web contiene enlaces a sitios de terceros que no están bajo el control de Chainalysis, Inc. O sus filiales (colectivamente “Chainalysis”). El acceso a dicha información no implica asociación, respaldo, aprobación o recomendación de Chainalysis del sitio o sus operadores, y Chainalysis no es responsable de los productos, servicios u otro contenido alojado en ellos.
Este material es solo para fines informativos y no pretende proporcionar asesoramiento legal, fiscal, financiero o de inversión. Los destinatarios deben consultar a sus propios asesores antes de tomar este tipo de decisiones. Chainalysis no se hace responsable de ninguna decisión tomada o de cualquier otro acto u omisión en relación con el uso de este material por parte del destinatario.
Chainalysis no garantiza ni declara la exactitud, integridad, puntualidad, idoneidad o validez de la información en este informe y no será responsable de ninguna reclamación atribuible a errores, omisiones u otras inexactitudes de cualquier parte de dicho material.
