Una investigación conjunta dirigida por Mauro Eldritch, fundador de BCA LTD , llevado a cabo junto con Threat-Intel Initiative North Scan y CUALQUIER CARRERA , una solución para el análisis interactivo de malware y la inteligencia de amenazas, ha descubierto uno de los esquemas de infiltración más persistentes de Corea del Norte: una red de trabajadores de TI remotos vinculados a la famosa división Chollima del Grupo Lazarus.

Por primera vez, los investigadores lograron observar el trabajo de los operadores vivir , capturando su actividad en lo que creían que eran verdaderos portátiles para desarrolladores. Sin embargo, las máquinas eran entornos sandbox totalmente controlados y de larga duración creados por ANY.RUN.

La configuración: ser reclutado y luego dejarlo entrar

Captura de pantalla de un mensaje de un reclutador que ofrece una oportunidad de trabajo falsa

La operación comenzó cuando NorthScan Heiner Garcia se hizo pasar por un desarrollador estadounidense atacado por un reclutador de Lazarus con el alias «Aaron» (también conocido como «Blaze»).

Haciéndose pasar por una «empresa» de colocación laboral, Blaze intentó contratar al falso desarrollador como líder; una conocida táctica de Chollima utilizada para meter a trabajadores de TI norcoreanos en empresas occidentales, principalmente en finanzas, criptomonedas, salud e ingeniería sectores.

El proceso de entrevistas

El plan siguió un patrón conocido:

  • robar o pedir prestada una identidad,
  • pasar entrevistas con herramientas de IA y compartir respuestas,
  • trabajar de forma remota a través del portátil de la víctima,
  • canalizar el salario de vuelta a la RPDC.

Una vez que Blaze solicitó el acceso completo, incluidos el SSN, el ID, LinkedIn, Gmail y la disponibilidad de computadoras portátiles las 24 horas del día, los 7 días de la semana, el equipo pasó a la fase dos.

La trampa: una «granja de ordenadores portátiles» que no era real

Un entorno virtual seguro proporcionado por Interactive Sandbox de ANY.RUN

En lugar de usar un portátil real, Mauro Eldritch, de BCA LTD, implementó las máquinas virtuales de ANY.RUN Sandbox, cada una configurada para parecerse a una estación de trabajo personal totalmente activa con historial de uso, herramientas para desarrolladores y enrutamiento de proxy residencial de EE. UU.

El equipo también podría forzar choques, acelerar la conectividad y tomar instantáneas de cada movimiento sin alertar a los operadores.

Lo que encontraron dentro del famoso kit de herramientas de Chollima

Las sesiones de sandbox expusieron un conjunto de herramientas sencillo pero eficaz creado para la apropiación de identidades y el acceso remoto, en lugar de para la implementación de malware. Una vez sincronizado su perfil de Chrome, los operadores cargaron:

  • Herramientas de automatización de trabajos impulsadas por IA (Simplifique Copilot, AIApply, Final Round AI) para completar automáticamente las solicitudes y generar respuestas a las entrevistas.
  • Generadores OTP basados en navegador (OTP.ee/Authenticator.cc) para gestionar la 2FA de las víctimas una vez que se recopilaron los documentos de identidad.
  • Escritorio remoto de Google , configurado mediante PowerShell con un PIN fijo, que proporciona un control permanente del host.
  • Rutina reconocimiento del sistema (dxdiag, systeminfo, whoami) para validar el hardware y el entorno.
  • Conexiones enrutadas de manera consistente VPN de Astrill , un patrón vinculado a la infraestructura anterior de Lazarus.

En una sesión, el operador incluso dejó un mensaje en el Bloc de notas en el que le pedía al «desarrollador» que cargara su ID, número de seguro social y detalles bancarios, confirmando el objetivo de la operación: apoderarse por completo de la estación de trabajo y de la identidad sin implementar ni una sola pieza de malware.

Una advertencia para las empresas y los equipos de contratación

La contratación remota se ha convertido en un punto de entrada silencioso pero fiable para las amenazas basadas en la identidad. Los atacantes suelen llegar a la organización atacando a empleados individuales con solicitudes de entrevista aparentemente legítimas. Una vez que están dentro, el riesgo va mucho más allá de un solo trabajador comprometido. Un infiltrado puede acceder a los paneles internos, a los datos empresariales confidenciales y a las cuentas de nivel directivo que tienen un impacto operativo real.

Crear conciencia dentro de la empresa y ofrecer a los equipos un lugar seguro para comprobar cualquier cosa sospechosa puede marcar la diferencia entre detener un enfoque desde el principio y enfrentarse a un compromiso interno total más adelante.

¿Te ha parecido interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.