Desarrolladores norcoreanos trabajaron en distintos momentos para al menos 40 grandes compañías del sector cripto, incluidas plataformas ampliamente conocidas. Así lo afirmó Taylor Monahan, representante de MetaMask. Según explicó, muchos especialistas de la RPDC cuentan con varios años de experiencia real en desarrollo blockchain, lo que dificulta que las empresas detecten a tiempo posibles amenazas. A esto se suma otro factor de riesgo: el formato de trabajo remoto, muy extendido en la industria.
En respuesta a la publicación de MetaMask, el investigador blockchain ZachXBT señaló que la táctica de los actores norcoreanos no es especialmente compleja. Se postulan masivamente a vacantes, contactan a empleadores a través de LinkedIn, participan en llamadas por Zoom y avanzan en procesos de selección. Como destacó el criptodetective anónimo, su rasgo más distintivo es la persistencia.
Tim Ahhl, fundador de Titan Exchange, contó que en los últimos tiempos miembros de Lazarus, el grupo norcoreano más conocido, comenzaron a involucrar en este tipo de operaciones no solo a ciudadanos de Corea del Norte, sino también a extranjeros. Según relató, su equipo entrevistó en una ocasión a un candidato que después resultó estar vinculado con Lazarus: su nombre aparecía en una filtración relacionada con el grupo. Ahhl precisó que el aspirante participó en videollamadas, mostró una cualificación muy alta, pero rechazó reunirse en persona.
Según los informes, la plataforma Bitrefill, atacada el 1 de marzo, fue comprometida precisamente a través de un integrante de Lazarus que había logrado ser contratado. El grupo utilizó una contraseña antigua de un empleado para acceder a una copia de datos confidenciales de producción. Después penetró en bases de datos y billeteras cripto de la plataforma, robando fondos e información de 18.500 usuarios.
A hackers norcoreanos también se les atribuye el ataque al protocolo Drift por 280 millones de dólares. Tras investigar el incidente, el propio proyecto indicó que las firmas comprometidas se obtuvieron mediante una operación de phishing que se prolongó durante seis meses. Representantes de Drift conocieron en una importante conferencia cripto a un grupo de personas que se presentó como empleados de una firma de trading interesada en asociarse con el protocolo. Según el proyecto, estas personas tenían currículums sólidos y amplia experiencia profesional. Interactuaron con varios miembros del equipo, realizaron numerosas sesiones de trabajo, formularon preguntas detalladas y técnicamente precisas sobre el producto e incluso aportaron más de 1 millón de dólares de capital propio.
Diversas estimaciones sostienen que, desde 2017, Lazarus ha robado criptoactivos por un valor aproximado de 7.000 millones de dólares. Múltiples investigaciones apuntan a que los hackers norcoreanos actúan en su mayoría en interés del Estado y contribuyen a reforzar el presupuesto de las autoridades de la RPDC con sumas enormes para la escala del país.
Entre los ataques más importantes atribuidos a Lazarus figuran el hackeo de Ronin Bridge en 2022, con un botín de 625 millones de dólares; la filtración de datos en la plataforma WazirX en 2024, que causó pérdidas por 235 millones; y el robo en el exchange Bybit en 2025, donde los atacantes retiraron 1.400 millones de dólares.