CrowdStrike ha publicado un informe revelando que ciberdelincuentes vinculados a Corea del Norte robaron miles de millones en activos digitales durante 2025. Estos ataques, impulsados por inteligencia artificial, reflejan una industrialización creciente del cibercrimen.
El informe indica que las intrusiones contra instituciones financieras aumentaron un 43% en los últimos dos años, debido a que los criminales explotan identidades confiables y aplicaciones SaaS. Esta tendencia es parte de una estrategia más amplia donde los actores usan plataformas aparentemente legítimas para facilitar fraudes.
Operaciones supervisadas
Basado en la inteligencia obtenida, el informe destaca que el robo de activos digitales aumentó un 51% respecto al año anterior, alcanzando los 2.020 millones de dólares. Un grupo denominado PRESSURE CHOLLIMA llevó a cabo un notable robo de 1.460 millones de dólares mediante software troyanizado.
Otras tácticas implicaron el uso de señuelos. Por ejemplo, GOLDEN CHOLLIMA utilizó procesos de contratación falsos para desviar fondos en criptomonedas y atacar entornos cloud en fintechs.
Impacto de la inteligencia artificial
Corea del Norte intensificó sus operaciones con el uso de IA para escalar el impacto. Grupos como FAMOUS CHOLLIMA duplicaron sus actividades usando identidades generadas por IA. Esto permitió infiltrarse en plataformas de intercambio y bancos comerciales con mayor facilidad.
Otras amenazas señaladas en el informe incluyen el espionaje vinculado a China. Grupos como HOLLOW PANDA y MURKY PANDA llevaron a cabo intrusiones en múltiples países afectando a sectores diversos, siendo los servicios financieros uno de los más atacados.
Presión sobre el sector financiero
El informe también menciona que la presión del cibercrimen sobre el sector financiero ha intensificado. Se registró un aumento del 27% en las filtraciones de datos de organizaciones de servicios financieros.
En 2025, MUTANT SPIDER se destacó por ejecutar el mayor volumen de intrusiones mediante campañas de vishing, facilitando ataques posteriores de ransomware.
