Los trabajadores de tecnología de la información (TI) asociados a la República Popular Democrática de Corea (RPDC) ahora se postulan para puestos remotos utilizando cuentas reales de LinkedIn de personas a las que se hacen pasar, lo que marca una nueva escalada del plan fraudulento.

«Estos perfiles suelen tener correos electrónicos y tarjetas de identidad verificados en el lugar de trabajo, lo que los agentes de la RPDC esperan que hagan que sus solicitudes fraudulentas parezcan legítimas», dijo Security Alliance (SEAL) dijo en una serie de publicaciones en X.

El Amenaza para trabajadores de TI es un operación de larga duración organizada por Corea del Norte, en la que agentes del país se hacen pasar por trabajadores remotos para conseguir puestos de trabajo en empresas occidentales y en otros lugares con identidades robadas o inventadas. La amenaza también es rastreada por la comunidad de ciberseguridad en general, como Jasper Sleet, PurpleDelta y Wagemole.

El objetivo final de estos esfuerzos tiene dos vertientes: generar un flujo de ingresos constante para financiar los programas de armas del país, llevar a cabo el espionaje mediante el robo de datos confidenciales y, en algunos casos, ir más allá al exigiendo rescates para evitar la filtración de la información.

El mes pasado, la empresa de ciberseguridad Silent Push descrito el programa de trabajadores remotos de la RPDC es un «motor de ingresos de gran volumen» para el régimen, que permite a los actores de amenazas obtener también acceso administrativo a bases de código confidenciales y establecer la persistencia de la vida de la tierra dentro de la infraestructura corporativa.

adsense

«Una vez que pagan sus salarios, los trabajadores de TI de la RPDC transfieren criptomonedas a través de una variedad de técnicas diferentes de lavado de dinero», dice la firma de análisis de cadenas de bloques Chainalysis apuntado en un informe publicado en octubre de 2025.

«Una de las formas en que los trabajadores de TI, así como sus homólogos que se dedican al blanqueo de dinero, rompen el vínculo entre el origen y el destino de los fondos en la cadena es mediante el cambio de cadenas y/o el intercambio de fichas. Aprovechan los contratos inteligentes, como las bolsas descentralizadas y los protocolos puente, para complicar la localización de los fondos».

Para contrarrestar la amenaza, se recomienda a las personas que sospechen que se está malversando su identidad en solicitudes de empleo fraudulentas que consideren la posibilidad de publicar una advertencia en sus cuentas de redes sociales, junto con una lista de sus canales de comunicación oficiales y el método de verificación para ponerse en contacto con ellas (por ejemplo, el correo electrónico de la empresa).

«Compruebe siempre que las cuentas listadas por los candidatos estén controladas por el correo electrónico que proporcionan», afirma Security Alliance. «Con comprobaciones sencillas, como pedirles que se conecten contigo en LinkedIn, se verificará que son propietarios y controlan la cuenta».

La revelación se produce cuando el Servicio de Seguridad de la Policía (PST) noruego emitió un aviso en el que afirmaba que tenía conocimiento de «varios casos» durante el último año en los que empresas noruegas se vieron afectadas por planes de trabajadores de TI.

«Se ha engañado a las empresas para que contraten lo que probablemente sean trabajadores de TI norcoreanos para puestos de oficina en casa», dijo PST dijo la semana pasada. «Los ingresos salariales que reciben los empleados norcoreanos por estos puestos probablemente se destinen a financiar el programa de armamento y armamento nuclear del país».

Paralelamente al plan de trabajadores de TI, hay otra campaña de ingeniería social denominada Entrevista contagiosa que implica utilizar flujos de contratación falsos para atraer a los posibles objetivos a las entrevistas después de contactarlos en LinkedIn con ofertas de trabajo. La fase maliciosa del ataque comienza cuando personas que se presentan como reclutadores y gerentes de contratación dan instrucciones a los objetivos para que completen una evaluación de habilidades que, finalmente, les lleva a ejecutar código malicioso.

En un caso de campaña de suplantación de identidad dirigida a trabajadores tecnológicos mediante un proceso de contratación parecido al de la empresa de infraestructura de activos digitales Fireblocks, se dice que los actores de la amenaza pidieron a los candidatos que clonaran un repositorio de GitHub y ejecutaran comandos para instalar un paquete npm y activar la ejecución de malware.

«La campaña también empleó EtherHiding, una técnica novedosa que aprovecha los contratos inteligentes de la cadena de bloques para alojar y recuperar la infraestructura de mando y control, lo que hace que la carga maliciosa sea más resistente a los derribos», dijo el investigador de seguridad Ori Hershko dijo . «Estas medidas provocaron la ejecución de código malicioso oculto en el proyecto. Al ejecutar el proceso de configuración, se descargó y ejecutó malware en el sistema de la víctima, lo que permitió a los atacantes acceder al equipo de la víctima».

En los últimos meses, se han observado nuevas variantes de la campaña Contagious Interview que utilizan archivos de tareas maliciosos de Microsoft VS Code para ejecutar malware de JavaScript disfrazado de fuentes web que, en última instancia, conducen al despliegue de BeaverTail e InvisibleFerret, lo que permite el acceso persistente y el robo de carteras de criptomonedas y credenciales de navegador, según informes de Seguridad abstracta y Malware de código abierto .

Campaña Koalemos RAT

Se sospecha que otra variante del conjunto de intrusiones documentada por Panther implica el uso de paquetes npm maliciosos para implementar un marco modular de troyanos de acceso remoto (RAT) de JavaScript denominado Koalemos a través de un cargador. El RAT está diseñado para entrar en un bucle de señalización para recuperar tareas de un servidor externo, ejecutarlas, enviar respuestas cifradas y permanecer en reposo durante un intervalo de tiempo aleatorio antes de volver a repetirse.

Admite 12 comandos diferentes para realizar operaciones del sistema de archivos, transferir archivos, ejecutar instrucciones de descubrimiento (por ejemplo, whoami) y ejecutar código arbitrario. Los nombres de algunos de los paquetes asociados a la actividad son los siguientes:

  • prueba de flujo de trabajo ambiental
  • prueba-sra
  • prueba de sra
  • vg-medallia-digital
  • cliente vg-ccc
  • vg-dev-env

«El cargador inicial realiza la verificación de la ejecución y la fecha de participación basadas en DNS antes de descargar y generar el módulo RAT como un proceso independiente», dijo la investigadora de seguridad Alessandra Rizzo dijo . «Koalemos toma las huellas dactilares del sistema, establece comunicaciones cifradas de comando y control y proporciona capacidades completas de acceso remoto».

Labyrinth Chollima se segmenta en unidades operativas especializadas

El desarrollo viene como CrowdStrike revelada que el prolífico equipo de hackers norcoreano conocido como Labyrinth Chollima se ha convertido en tres grupos distintos con objetivos y habilidades distintos: el grupo principal de Labyrinth Chollima, Golden Chollima (también conocido como AppleJeus, Citrine Sleet y UNC4736) y Pressure Chollima (también conocido como Jade Sleet, TraderTraitor y UNC4899).

enlaces

Vale la pena señalar que Labyrinth Chollima, junto con Andariel y BlueNoroff, se consideran subgrupos del Grupo Lazarus (también conocido como Diamond Sleet y Hidden Cobra), y BlueNoroff se divide en TraderTraitor y CryptoCore (también conocido como Sapphire Sleet), según una evaluación de DTEX.

A pesar de la nueva independencia, estos adversarios siguen compartiendo herramientas e infraestructuras, lo que sugiere una coordinación centralizada y una asignación de recursos dentro del aparato cibernético de la RPDC. Golden Chollima se centra en el robo sistemático y a menor escala de criptomonedas en las regiones económicamente desarrolladas, mientras que Pressure Chollima lleva a cabo robos de gran valor con implantes avanzados para identificar a las organizaciones con importantes activos digitales.

Nuevos clústeres de Corea del Norte

Por otro lado, las operaciones de Labyrinth Chollima están motivadas por el ciberespionaje, utilizando herramientas como la Módulo FUD rootkit para lograr el sigilo. Este último también se atribuye a Operación Dream Job , otra campaña de ingeniería social centrada en el empleo diseñada para entregar malware para la recopilación de información.

«Los elementos de infraestructura compartida y la polinización cruzada de herramientas indican que estas unidades mantienen una estrecha coordinación», dijo CrowdStrike. «Los tres adversarios emplean técnicas notablemente similares, que incluyen comprometer la cadena de suministro, campañas de ingeniería social con temas de recursos humanos, software legítimo troyanizado a troyanos y paquetes maliciosos de Node.js y Python».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.