El Departamento de Justicia de los Estados Unidos (DOJ) dijo que había presentado una queja de decomiso civil en un tribunal federal. Su objetivo es ser más de $ 7.74 millones en criptomonedas, tokens inapropiados (NFT) y otros activos digitales, que se dice que están vinculados a un esquema global de trabajadores de TI organizado por Corea del Norte.
«Durante años, Corea del Norte ha utilizado un contrato de TI remoto global y un ecosistema de criptomonedas para evitar las sanciones de los Estados Unidos y financiar sus programas de armas», dijo Su J. Bai, director de seguridad nacional del Departamento de Justicia.
El Departamento de Justicia dijo que los fondos fueron detenidos originalmente en relación con la acusación de abril de 2023 contra Sim Hyon-Sop, el representante del Banco de Comercio Exterior de Corea del Norte (FTB), que se cree que ha conspirado con los trabajadores de TI.
Los trabajadores de TI utilizaron identidades falsas para adquirir empleo en las compañías de criptomonedas estadounidenses, lavando ganancias injustas a través de SIMS y lavando más objetivos estratégicos de Pyongyang en violación de las sanciones impuestas por la Oficina de Control de Activos Exteriores (OFAC) del Departamento de Tesoro de los Estados Unidos y países integrados.
El esquema fraudulento se ha convertido en una operación masiva desde sus orígenes en 2017. Operaciones de contratación ilegales Aproveche una combinación de identidades ficticias robadas y las controles de debida diligencia debida y los trabajos seguros de relatividad con la ayuda de herramientas de inteligencia artificial (AI) como OpenAI Chatgpt.
Seguimiento de los nomikers Wagmole y UNC5267, la actividad se califica como asociada con el Partido de los Trabajadores de Corea del Sur y se considera una estrategia de diseño sistemático para incrustar a los trabajadores de TI en empresas legítimas y extraer corrientes de ingresos estables para Corea del Norte.
Además de tergiversar la identidad y la ubicación, los aspectos centrales de las operaciones incluyen reclutar facilitadores para administrar granjas de portátiles en todo el mundo, permitir fases de entrevistas en video y lavar los ingresos a través de diversas cuentas.
Uno de esos facilitadores de la granja portátil fue Christina Marie Chapman. En un informe publicado el mes pasado, el Wall Street Journal reveló en marzo de 2020 un mensaje de LinkedIn reveló cómo Drew Chapman, una ex camarera y terapeuta de masaje con más de 100,000 seguidores en Tiktok, es Drew Chapman en una estafa complicada. Está programada para ser sentenciada el 16 de julio.
«Después de lavar estos fondos, se dice que los trabajadores de TI de Corea del Norte a veces fueron enviados de regreso al gobierno de Corea del Norte a través de Sim y Kim Sang-Man», dijo el Departamento de Justicia. «Kim es un ciudadano norcoreano que es el CEO de Chinyong y también es conocido como la» Compañía de copia Jinyong It «.
Los análisis de las billeteras de criptomonedas de Sim por TRM Labs revelaron que recibieron más de $ 24 millones en criptomonedas entre agosto de 2021 y marzo de 2023.
Evaluación organizacional de Corea del Norte
«La mayoría de estos fondos se abrieron utilizando documentos de identidad rusos falsificados y se devolvieron a las cuentas de Kim a las que se accede desde dispositivos en idioma coreano operados desde los EAU y Rusia», dijo TRM Labs. «Sim, un funcionario norcoreano, mantuvo una billetera autohospedada que se ejecutó en Dubai y recibió fondos lavados de docenas de fuentes».
Kim actuó como intermediario entre los trabajadores de TI y FTB desde su base en Vladivostok, Rusia, utilizando dos cuentas para recaudar fondos de ellos y redistribuir los ingresos en SIM y otras billeteras conectadas a Corea del Norte.
La compañía de ciberseguridad DTEX caracteriza la amenaza de los trabajadores de TI como un sindicato de delincuencia patrocinado por el estado principalmente para evitar sanciones y generar beneficios, y los actores de amenaza pasan gradualmente de las granjas portátiles para usar sus propias máquinas como parte de la compañía para lograr sus propias políticas de dispositivos (BYOD).
«El desafío es realmente su única táctica y todo se trata como una herramienta de algún tipo», dijo a Hacker News, Michael Burnhart, investigador de riesgos Insider de DTEX I3 en DTEX Systems.
«Si nos centramos en las granjas de portátiles que son muy buenas para decir esa palabra, por supuesto, esta nación oportunista quiere atraer a un lugar donde el pase es mucho más fácil si afecta las operaciones. Hasta que las granjas de portátiles ya no son efectivas, todavía es una opción, pero Byod Abuse fue algo que DTEX vio en la encuesta y no en la granja».
DTEX señaló además que estos trabajadores de TI podrían ser trabajadores de TI de ingresos (R-ITW) o trabajadores de TI maliciosos (M-ITW).
Si bien se dice que los funcionarios de R-ITW son menos privilegiados y motivados para ganar dinero principalmente para la administración, los actores de M-ITW superan sus ingresos al obligar a los clientes de las víctimas, frustrando los servidores de criptomonedas, robando una valiosa propiedad intelectual y ejecutando código malicioso en el medio ambiente.
Según la compañía de gestión de riesgos internos, Chinyong es una de las muchas compañías de TI que han implementado trabajadores en una combinación de trabajo independiente de TI y robo de criptomonedas al aprovechar el acceso interno a proyectos blockchain. Opera en China, Laos y Rusia.
Dos personas asociadas con los esfuerzos de los trabajadores de TI relacionados con la barbilla no han sido enmascaradas porque Murano, quien estaba vinculado a un robo de $ 6 millones en la compañía cripto Delta Prime en septiembre de 2024, anteriormente usó Murano y Jenson Collins en Corea del Norte.
«En última instancia, con la detección de granjas portátiles unidas a la RPDC y esquemas de trabajadores remotos, los defensores deben ir más allá de las métricas tradicionales de compromiso y comenzar a hacer una variedad de preguntas sobre infraestructura, comportamiento y acceso», dijo el investigador de seguridad Matt Ryan. «Estas campañas no son solo sobre malware y phishing. Se tratan de engaños a gran escala y, a menudo, se ejecutan de una manera que combina perfectamente con un trabajo remoto legítimo».
Una investigación adicional sobre vastas fraude multimillonaria ha revelado varias cuentas relacionadas con dominios falsos establecidos para las diversas compañías frontales utilizadas para proporcionar referencias falsas a los trabajadores de TI. Estas cuentas están infectadas con malware cubierto de información y están atrayendo atención de Flashpoint, lo que le permite marcar varios aspectos de su secretario.
La compañía dijo que ha identificado un anfitrión comprometido en Lahore, Pakistán. Esto incluyó información de Babybox, Helix US y cuentas de correo electrónico guardadas utilizadas como contactos al registrar dominios relacionados con Cubix Tech US.
Además, el historial del navegador capturado por Steeler Malware en otro ejemplo capturó las URL de traducción de Google relacionadas con numerosas traducciones entre inglés y coreano, incluidas las relacionadas con las referencias de trabajo falsificadas y el envío.
Eso no es todo. Investigaciones recientes expusieron el «sistema de control remoto de múltiples capas ocultos» utilizado por los trabajadores de TI de Corea del Norte para establecer un acceso sostenido a las computadoras portátiles emitidas por la compañía en las computadoras portátiles, mientras aún se encuentra físicamente en Asia.
«Esta operación aprovecha una combinación de señalización de protocolo de bajo nivel y herramientas de colaboración legítimas para mantener el acceso remoto y habilitar la visibilidad y el control de los datos utilizando Zoom.
«Para mejorar aún más el sigilo y la automatización, necesitábamos configurar un cliente de zoom específico. Ajustamos meticulosamente las configuraciones para evitar métricas orientadas al usuario y impedimentos audiovisuales.
Complementando Wagemole es otra campaña llamada las entrevistas infecciosas (también conocida como DeceptedEgranment, Famous Chollima, Gwisin Gang, Teneasious Pungsan, UNC5342 y Void Dokkaebi).
«La pandilla Gwysin está apuntando francamente a personas que ya tienen trabajo en lugar de tomar el largo proceso de solicitar empleos», dijo Burnhardt. «Se ven altos y únicos, ya que tienen el uso de malware que refleja este concepto. Los trabajadores de TI son un término inclusivo, con muchos estilos, razas y niveles de habilidad entre ellos».
En cuanto a cómo evolucionarán los esquemas de trabajadores de TI en los próximos años, Barnhart señala el sector financiero tradicional como su objetivo.
«Creo que la tecnología Blockchain y Web3 se implementan en las instituciones financieras tradicionales, por lo que todos los activos cibernéticos de la RPDC en ese espacio apuntan a dirigirse a estas empresas a medida que han estado sucediendo en los últimos años», señaló Barnhart. «Cuanto más se integre con estas tecnologías, más arraigada es la RPDC, por lo que debe tener más cuidado».
Source link
