Los piratas informáticos norcoreanos han robado miles de millones en criptomonedas y datos corporativos confidenciales haciéndose pasar por capitalistas de riesgo, reclutadores y trabajadores de TI remotos.
Los investigadores hicieron las revelaciones durante Cyberwarcon, una conferencia anual sobre ciberseguridad, el 29 de noviembre.
Según el investigador de seguridad de Microsoft, James Elliott, los agentes norcoreanos se han infiltrado en cientos de organizaciones globales creando identidades falsas.
Utilizando tácticas que van desde sofisticados perfiles generados por IA hasta campañas de reclutamiento cargadas de malware, estos piratas informáticos han canalizado activos robados al programa de armas nucleares del régimen, eludiendo las sanciones internacionales.
Según Elliott:
“Los trabajadores de TI de Corea del Norte representan una triple amenaza”.
Hizo hincapié en su capacidad para obtener ingresos legítimos, robar secretos corporativos y extorsionar a las empresas amenazando con exponer datos robados en el mundo moderno del trabajo remoto.
Tácticas cibernéticas en evolución
Los piratas informáticos emplean una variedad de esquemas para atacar a las empresas. Un grupo, denominado “Ruby Sleet” por Microsoft, se centra en empresas aeroespaciales y de defensa que roban información para avanzar en la tecnología armamentística de Corea del Norte.
Otro, “Sapphire Sleet”, se hace pasar por reclutadores y capitalistas de riesgo, engañando a las víctimas para que descarguen malware disfrazado de herramientas o evaluaciones.
En una campaña, los piratas informáticos robaron 10 millones de dólares en criptomonedas durante seis meses atacando a personas y empresas con configuraciones de reuniones virtuales falsas. Los piratas informáticos organizaron problemas técnicos durante las reuniones para obligar a las víctimas a instalar malware.
La amenaza más persistente proviene de los agentes norcoreanos que se hacen pasar por trabajadores remotos. Estos malos actores crean personajes en línea convincentes utilizando perfiles de LinkedIn, repositorios de GitHub y deepfakes generados por IA para aprovechar el cambio global hacia el trabajo remoto.
Una vez contratados, estos agentes dirigen las computadoras portátiles proporcionadas por la empresa a facilitadores con sede en Estados Unidos, quienes configuran conjuntos de dispositivos precargados con software de acceso remoto. Esto permite a los agentes norcoreanos operar desde lugares como Rusia y China.
Elliott reveló que Microsoft descubrió planes operativos detallados, incluidos currículums y expedientes de identidad falsos, de un repositorio mal configurado que pertenece a un agente norcoreano.
Elliott dijo:
“Era todo el libro de jugadas”.
Pide mayor vigilancia
Si bien se han emitido sanciones y advertencias públicas, los grupos de hackers norcoreanos siguen evadiendo las consecuencias.
A principios de este año, los fiscales estadounidenses acusaron a personas relacionadas con el cultivo de portátiles, y el FBI advirtió a las empresas sobre el uso de deepfakes generados por IA en estafas laborales.
Los investigadores enfatizaron la necesidad de procesos de verificación de empleados más estrictos. Elliott señaló señales de alerta comunes, incluidos errores lingüísticos e inconsistencias en los datos geográficos, que podrían ayudar a las empresas a identificar solicitantes sospechosos.
“Ésta no es una cuestión pasajera. Las campañas cibernéticas de Corea del Norte son una amenaza a largo plazo que exige una vigilancia constante”.
Dado que el engaño cibernético evoluciona rápidamente, la comunidad empresarial global se encuentra bajo una presión cada vez mayor para adaptarse y fortalecer sus defensas contra estas sofisticadas amenazas.
