La Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de Estados Unidos ha sancionado a seis personas y dos entidades por su participación en el Programa de Trabajadores de Tecnología de la Información (TI) de la República Popular Democrática de Corea (RPDC), que fue diseñado para defraudar a empresas estadounidenses y generar ingresos ilícitos para financiar el programa de armas de destrucción masiva (ADM) de Corea del Norte.
«El régimen norcoreano ataca a las empresas estadounidenses a través de esquemas engañosos dirigidos por operadores extranjeros de TI, utilizando datos confidenciales como armas y extorsionando a las empresas para que realicen grandes pagos», dijo el secretario del Tesoro, Scott Bessent.
El plan de fraude, también conocido como Coral Sleet/Jasper Sleet, PurpleDelta y Wagemole, utiliza documentos falsos, identidades robadas y personajes inventados para ayudar a los trabajadores de TI a ocultar sus verdaderos orígenes y obtener empleos en empresas legítimas en los Estados Unidos y otros lugares. Luego, una parte desproporcionada de sus salarios se canaliza a Corea del Norte, promoviendo el programa de misiles del país en violación de las sanciones internacionales.
En algunos casos, estos esfuerzos se complementan con el despliegue de malware para robar información confidencial o participar en campañas de extorsión que exigen un rescate a cambio de no divulgar públicamente los datos robados.
Las personas y entidades objeto de las últimas sanciones de la OFAC son:
Amnokgan Technology Development Company es una empresa de TI que gestiona delegaciones de trabajadores de TI en el extranjero y lleva a cabo otras actividades de adquisiciones ilegales para adquirir y vender tecnología militar y comercial a través de redes en el extranjero. Nguyen Quang Viet, director ejecutivo de Quangvietdnbg International Services Company Limited, una empresa vietnamita que ofrece servicios de cambio de moneda a norcoreanos. Se estima que la empresa ha convertido aproximadamente 2,5 millones de dólares en criptomonedas desde mediados de 2023 hasta mediados de 2025. Do Pi Khan, colega de Kim Se-un, que fue sancionado por Estados Unidos en julio de 2025. El Sr. Do supuestamente actuó como agente del Sr. Kim y le permitió usar su identidad para abrir cuentas bancarias y lavar ganancias de los trabajadores de TI. Hoang Van Nguyen ayudó a Kim a abrir una cuenta bancaria, lo que le permitió comerciar con criptomonedas. Yun Song-kook, un ciudadano norcoreano, ha estado liderando un grupo de trabajadores de TI que realizan trabajos de TI independientes en Boten, Laos desde al menos 2023. El Sr. Yun coordinó docenas de transacciones financieras por más de $70,000 relacionadas con servicios de TI con el Sr. Huang Minh Quang, y trabajó con el Sr. York Luis Celestino Herrera para celebrar contratos de servicios de TI independientes.
El desarrollo se produce cuando LevelBlue destaca cómo los esquemas de trabajadores de TI están utilizando Astrill VPN para realizar su trabajo mientras se encuentran en países como China debido a la capacidad del servicio para evitar el Gran Cortafuegos de China. La idea es canalizar el tráfico a través de nodos de salida en Estados Unidos, permitiéndoles efectivamente hacerse pasar por empleados domésticos legítimos.
«Estos actores de amenazas normalmente operan desde China en lugar de Corea del Norte por dos razones: una infraestructura de Internet más confiable y la capacidad de aprovechar los servicios VPN para ocultar sus verdaderos orígenes geográficos», dijo el investigador de seguridad Tu Lu. «Los subgrupos del Grupo Lazarus, incluido Contagious Interview, están aprovechando esta capacidad para obtener acceso ilimitado a Internet en todo el mundo, controlar la infraestructura de mando y control y ocultar su verdadera ubicación».
La firma de ciberseguridad también dijo que detectó el intento fallido de Corea del Norte de infiltrarse en la organización respondiendo a anuncios de búsqueda de ayuda. Este empleado de TI fue contratado como empleado remoto que trabajaba con datos de Salesforce el 15 de agosto de 2025, pero fue despedido 10 días después debido a indicadores de inicios de sesión consistentes desde China.
Un aspecto notable del oficio comercial de Jasper Sleet es el uso de inteligencia artificial para permitir la falsificación de identidades, la ingeniería social y la continuidad operativa a largo plazo a bajo costo, lo que destaca cómo los servicios impulsados por IA pueden reducir las barreras tecnológicas y mejorar las capacidades de los actores de amenazas.
«Jasper Sleet aprovecha la IA a lo largo del ciclo de vida del ataque para conseguir empleos, conservarlos y explotar el acceso a escala», dijo Microsoft. «Los actores de amenazas están utilizando la IA para acortar el proceso de reconocimiento que informa el desarrollo de personas digitales atractivas adaptadas a roles y mercados laborales específicos».
Otro componente clave implica el uso de una aplicación de inteligencia artificial llamada Faceswap para insertar la cara de un empleado de TI de Corea del Norte en una tarjeta de identidad robada, generando una fotografía policial pulida para un currículum. Al hacerlo, estos esfuerzos apuntan no sólo a mejorar la precisión de la campaña sino también a aumentar la credibilidad mediante la creación de una identidad digital convincente.
Además, se han evaluado las amenazas de los trabajadores de TI remotos para aprovechar las herramientas de inteligencia artificial de los agentes para generar, refinar y reimplementar rápidamente componentes de malware mediante la creación de sitios web corporativos falsos y, en algunos casos, el jailbreak de modelos de lenguaje a gran escala (LLM).
«Los actores de amenazas, como los trabajadores remotos de TI de Corea del Norte, dependen de un acceso confiable y a largo plazo», dijo Microsoft. «Debido a este hecho, los defensores deben tratar la contratación fraudulenta y el uso indebido del acceso como escenarios de riesgo interno y centrarse en detectar el uso indebido de credenciales legítimas, patrones de acceso anómalos y actividad lenta y persistente».
Un informe detallado publicado por Flare e IBM X-Force que examina las tácticas y técnicas del personal de TI revela que los actores de amenazas están utilizando hojas de tiempo para rastrear las solicitudes de empleo y el progreso del trabajo, IP Messenger (también conocido como IPMsg) para comunicaciones internas descentralizadas y Google Translate para traducir descripciones de puestos, crear aplicaciones e incluso interpretar respuestas de herramientas como ChatGPT.
El Plan de Trabajadores de TI se basa en una estructura operativa de múltiples niveles que involucra a reclutadores, facilitadores, trabajadores de TI y colaboradores, cada uno de los cuales desempeña un papel diferente.
El reclutador es responsable de seleccionar talentos potenciales de TI y de grabar y enviar la sesión de entrevista inicial al facilitador. Facilitadores y trabajadores TI. Responsable de crear personas, adquirir empleo independiente o de tiempo completo e incorporar nuevos empleados. Se recluta a los contribuyentes para que donen sus identificaciones personales e información para ayudar a los empleados de TI a completar el proceso de contratación y recibir computadoras portátiles proporcionadas por la empresa.
«Con la ayuda de colaboradores occidentales, principalmente reclutados en LinkedIn y GitHub, que voluntaria o involuntariamente proporcionan sus identidades para su uso en esquemas de fraude de trabajadores de TI, NKITW puede penetrar más profundamente y de manera más confiable en las organizaciones con el tiempo», dijeron las compañías en un informe compartido con Hacker News.
«El trabajo de los trabajadores de TI de Corea del Norte es extenso y está profundamente arraigado dentro del partido-estado norcoreano. Es un elemento esencial de la maquinaria de generación de ingresos y evasión de sanciones de Corea del Norte».
Source link
