Los empleados de tecnología de la información (TI) asociados con la República Popular Democrática de Corea (RPDC) ahora están solicitando trabajos remotos utilizando cuentas reales de LinkedIn de personas suplantadas, lo que marca una nueva expansión del fraude.
«Estos perfiles a menudo incluyen correos electrónicos de trabajo verificados y tarjetas de identificación, que los agentes norcoreanos esperan que hagan que las aplicaciones fraudulentas parezcan legítimas», dijo Security Alliance (SEAL) en una serie de publicaciones en X.
La amenaza para los trabajadores de TI es una operación norcoreana de larga duración en la que agentes norcoreanos se hacen pasar por trabajadores remotos y utilizan identidades robadas o fabricadas para asegurar puestos de trabajo en empresas occidentales y otros lugares. Esta amenaza también es rastreada por la comunidad de ciberseguridad en general, incluidos Jasper Sleet, PurpleDelta y Wagemole.
El objetivo final de estos esfuerzos es doble. Una es generar una fuente constante de ingresos para financiar el programa de armas de un país, otra es realizar espionaje robando datos confidenciales y, en algunos casos, ir más allá al exigir un rescate para evitar la fuga de información.
La firma de ciberseguridad Silent Push describió el mes pasado el programa de trabajadores remotos de Corea del Norte como una «fuente de ingresos masiva» para el régimen, diciendo que también permite a los actores de amenazas obtener acceso administrativo a bases de código sensibles y establecer una presencia permanente dentro de la infraestructura corporativa.
«Una vez que se pagan sus salarios, los trabajadores de TI de Corea del Norte transfieren criptomonedas a través de diversos métodos de lavado de dinero», dijo la firma de análisis de blockchain Chainalysis en un informe publicado en octubre de 2025.
«Una de las formas en que los funcionarios de TI y los blanqueadores de dinero cortan el vínculo entre el origen y el destino de los fondos en cadena es mediante saltos de cadena o intercambio de tokens. Utilizan contratos inteligentes, como intercambios descentralizados y protocolos puente, para complicar el seguimiento de los fondos».
Para combatir esta amenaza, las personas que sospechen que su identidad ha sido utilizada para solicitudes de empleo fraudulentas deberían considerar publicar una advertencia en sus cuentas de redes sociales, así como enumerar los canales de comunicación oficiales y los métodos de verificación de contactos (como el correo electrónico de la empresa).
«Siempre verifique que la cuenta que enumera un candidato esté controlada por el correo electrónico proporcionado por el candidato», dijo Security Alliance. «Una simple verificación, como pedirnos que nos conectemos con usted en LinkedIn, confirma la propiedad y el control de su cuenta».
La revelación se produce después de que el Servicio de Seguridad y Policía de Noruega (PST) emitiera un aviso diciendo que tenía conocimiento de «varios casos» de empresas noruegas afectadas por el plan de trabajadores de TI durante el año pasado.
PST dijo la semana pasada que «las empresas probablemente fueron engañadas para que contrataran trabajadores de TI norcoreanos para trabajar desde casa». «Los ingresos salariales que reciben los empleados norcoreanos a través de dichos puestos probablemente se utilizarían para financiar el programa de armas y armas nucleares del país».
Paralelamente al plan de fuerza laboral de TI hay otra campaña de ingeniería social llamada «entrevista de contagio». Se trata de utilizar un flujo de contratación falso para acercarse a objetivos potenciales con una oferta de trabajo en LinkedIn y luego atraerlos a una entrevista. La fase maliciosa del ataque comienza cuando un individuo que dice ser un reclutador o gerente de contratación le indica al objetivo que complete una evaluación de habilidades, lo que en última instancia conduce a la ejecución de código malicioso.
En un caso de una campaña de reclutamiento falsa dirigida a trabajadores de alta tecnología utilizando un proceso de contratación similar al de la empresa de infraestructura de activos digitales Fireblocks, los actores de amenazas supuestamente pidieron a los candidatos que clonaran un repositorio de GitHub y ejecutaran un comando que instalaba un paquete npm que desencadenaba la ejecución de malware.
«Esta campaña también emplea EtherHiding, una nueva tecnología que utiliza contratos inteligentes blockchain para alojar y obtener infraestructura de comando y control, haciéndola más resistente a la eliminación de cargas útiles maliciosas», dijo el investigador de seguridad Ori Hershko. «Estos pasos desencadenaron la ejecución de código malicioso oculto dentro del proyecto. El proceso de instalación descargó y ejecutó malware en el sistema de la víctima, dándole al atacante un punto de apoyo en la máquina de la víctima».
Abstract Security y OpenSourceMalware informan que en los últimos meses se han observado nuevas variantes de la campaña Contagious Interview que utilizan archivos de tareas maliciosos de Microsoft VS Code para ejecutar malware JavaScript disfrazado de fuentes web, lo que en última instancia condujo a la implementación de BeaverTail e InvisibleFerret, lo que permite el acceso persistente y el robo de carteras de criptomonedas y credenciales de navegador.
Campaña Coremos RAT
Se sospecha que otra variante del conjunto de intrusión documentada por Panther utiliza un paquete npm malicioso para implementar un marco de troyano de acceso remoto (RAT) de JavaScript modular llamado Koalemos a través de un cargador. Las RAT están diseñadas para ingresar a un bucle de baliza, recuperar tareas de servidores externos, ejecutarlas, enviar respuestas cifradas y dormir en intervalos de tiempo aleatorios antes de repetirse nuevamente.
Admite 12 comandos diferentes para realizar operaciones del sistema de archivos, transferir archivos, ejecutar instrucciones de descubrimiento (como whoami) y ejecutar código arbitrario. Los nombres de algunos paquetes asociados a actividades son:
prueba-de-flujo-de-trabajo-env prueba-sra-prueba-prueba-sra vg-medallia-digital vg-ccc-client vg-dev-env
«El cargador inicial realiza la puerta de ejecución basada en DNS y la validación de la fecha de participación antes de descargar y generar el módulo RAT como un proceso separado», dijo la investigadora de seguridad Alessandra Rizzo. «Koalemos toma las huellas digitales del sistema, establece comunicaciones cifradas de comando y control y proporciona capacidades completas de acceso remoto».
Labyrinth Senriuma se dividirá en unidades operativas especializadas.
El desarrollo se produce cuando se reveló que un prolífico colectivo de hackers norcoreanos conocido como Labyrinth Chollima ha evolucionado en tres grupos separados con objetivos y oficios distintos. a saber, el grupo central Labyrinth Chollima, Golden Chollima (también conocido como AppleJeus, Citrine Sleet, UNC4736) y Pressure Chollima (también conocido como Jade Sleet, TraderTraitor, UNC4899).
Vale la pena señalar que, según la evaluación de DTEX, Labyrinth Chollima, junto con Andariel y BlueNoroff, se considera un subgrupo dentro del grupo Lazarus (también conocido como Diamond Sleet y Hidden Cobra), y BlueNoroff se ha dividido en TraderTraitor y CryptoCore (también conocido como Sapphire Sleet).
A pesar de su nueva independencia, estos adversarios continúan compartiendo herramientas e infraestructura, lo que sugiere una coordinación centralizada y asignación de recursos dentro del aparato cibernético de Corea del Norte. Golden Chollima se centra en el robo constante de criptomonedas a pequeña escala en regiones económicamente desarrolladas, mientras que Pressure Chollima señala organizaciones con grandes cantidades de activos digitales y persigue atracos de alto valor utilizando implantes sofisticados.
Nuevo grupo de Corea del Norte
Las actividades de Labyrinth Chollima, por otro lado, están motivadas por el ciberespionaje, utilizando herramientas como el rootkit FudModule para lograr el sigilo. También se cree que esto último es el resultado de Operation Dream Job, otra campaña de ingeniería social centrada en Job destinada a distribuir malware con fines de recopilación de información.
«El intercambio de elementos de infraestructura y la polinización cruzada de herramientas muestra que estos sectores permanecen estrechamente alineados», dijo CrowdStrike. «Los tres atacantes están utilizando técnicas muy similares, que incluyen compromisos de la cadena de suministro, campañas de ingeniería social con temas de recursos humanos, software legítimo troyanizado y paquetes maliciosos de Node.js y Python».
Source link
