Una investigación conjunta dirigida por Mauro Erdrich, fundador de BCA LTD, y realizada en colaboración con NorthScan, una empresa de inteligencia sobre amenazas, y ANY.RUN, una solución interactiva de análisis de malware e inteligencia sobre amenazas, reveló una red de empleados de TI remotos vinculados a uno de los esquemas de intrusión más persistentes de Corea del Norte, la famosa división Chollima del Grupo Lazarus.
Por primera vez, los investigadores pudieron observar a los operadores trabajando en vivo, capturando sus actividades en lo que se cree que es la computadora portátil de un desarrollador real. Sin embargo, estas máquinas eran entornos sandbox de larga duración y totalmente controlados creados por ANY.RUN.
Cómo funciona: Reclutar y luego dejar que se unan a la empresa
Captura de pantalla de un mensaje de un reclutador que ofrece una oferta de trabajo falsa
La operación comenzó cuando Heiner García de NorthScan utilizó el alias «Aaron» (también conocido como «Blaze») para hacerse pasar por un desarrollador estadounidense objetivo de los reclutadores de Lazarus.
Blaze intentó contratar a un desarrollador falso como testaferro bajo la apariencia de un «negocio» de colocación laboral. Una conocida táctica de Chillima utilizada para reclutar trabajadores de TI de Corea del Norte para empresas occidentales, principalmente en los sectores de finanzas, criptomonedas, atención médica e ingeniería.
Flujo de la entrevista
Este esquema siguió un patrón bien conocido.
Robar o tomar prestadas identidades, utilizar herramientas de inteligencia artificial para pasar entrevistas y compartir respuestas, trabajar de forma remota a través de las computadoras portátiles de las víctimas y repatriar salarios a Corea del Norte.
El equipo pasó a la Fase 2 cuando Blaze solicitó acceso completo, incluido SSN, ID, LinkedIn, Gmail y disponibilidad de computadoras portátiles las 24 horas, los 7 días de la semana.
Trampa: una “granja de portátiles” que no era real
Un entorno virtual seguro proporcionado por el sandbox interactivo de ANY.RUN
En lugar de utilizar una computadora portátil real, Mauro Eldritch de BCA LTD implementó una máquina virtual ANY.RUN Sandbox. Cada máquina virtual está configurada como una estación de trabajo personal completamente activa con historial de uso, herramientas de desarrollo y enrutamiento de proxy residencial en EE. UU.
El equipo también podría forzar accidentes, ajustar conexiones y tomar instantáneas de cada movimiento sin alertar a los operadores.
Lo que encontraron dentro de la famosa caja de herramientas Cholima
La sesión de espacio aislado expuso un conjunto de herramientas eficiente y eficaz creado para la adquisición de identidades y el acceso remoto, no para la implementación de malware. Cuando se sincronizó el perfil de Chrome, el operador cargó:
Las herramientas de automatización del trabajo impulsadas por IA (Simplify Copilot, AiApply, Final Round AI) completan automáticamente formularios de solicitud y generan respuestas a las entrevistas. Un generador de OTP basado en navegador (OTP.ee / Authenticator.cc) para manejar la 2FA de la víctima después de que se hayan recopilado los documentos de identidad. Escritorio remoto de Google. Configurado vía PowerShell con un PIN fijo, proporcionando control permanente del host. Reconocimiento periódico del sistema (dxdiag, systeminfo, whoami) para validar el hardware y el entorno. Las conexiones se enrutan constantemente a través de Astrill VPN, un patrón asociado con la infraestructura anterior de Lazarus.
En una sesión, el operador dejó un mensaje en un bloc de notas pidiendo a los «desarrolladores» que cargaran su identificación, número de seguro social y detalles de su cuenta bancaria, confirmando el objetivo de la operación de hacerse cargo de identidades y estaciones de trabajo completas sin introducir ningún malware.
Una advertencia a las empresas y a los equipos de contratación
El empleo remoto se ha convertido en un punto de entrada silencioso pero confiable para las amenazas basadas en la identidad. Los atacantes suelen llegar a las organizaciones dirigiéndose a empleados individuales y enviando solicitudes de entrevistas aparentemente legítimas. Una vez que entran, el riesgo se extiende mucho más allá de la intrusión de un solo empleado. Los intrusos obtienen acceso a paneles internos, datos comerciales confidenciales y cuentas de nivel de administrador que afectan las operaciones del mundo real.
Aumentar la conciencia interna y brindarle a su equipo un lugar seguro para verificar cualquier cosa sospechosa puede ser la diferencia entre cancelar un enfoque temprano o lidiar con una infracción interna en toda regla más adelante.
Source link
