La Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de los Estados Unidos sancionó a seis personas y dos entidades por su participación en la República Popular Democrática de Corea (RPDC) régimen de trabajadores de tecnología de la información (TI) con el objetivo de defraudar a las empresas estadounidenses y generar ingresos ilícitos para que el régimen financie sus programas de armas de destrucción masiva (ADM).

«El régimen norcoreano ataca a las empresas estadounidenses mediante planes engañosos llevados a cabo por sus agentes de TI en el extranjero, que utilizan datos confidenciales como armas y extorsionan a las empresas para que paguen importantes cantidades». dijo El secretario del Tesoro, Scott Bessent.

El esquema fraudulento , también llamada Coral Sleet/Jasper Sleet, PurpleDelta y Wagemole, se basa en documentación falsa, identidades robadas y personajes inventados para ayudar a los trabajadores de TI a ocultar sus verdaderos orígenes y conseguir empleos en empresas legítimas de EE. UU. y otros lugares. Posteriormente, una parte desproporcionada de los salarios se destina a Corea del Norte para facilitar los programas de misiles de la nación, en violación de las sanciones internacionales.

adsense

En algunos casos, estos esfuerzos son complementado mediante el despliegue de malware para robar información confidencial y privada, así como mediante la participación en esfuerzos de extorsión exigiendo rescates a cambio de no divulgar públicamente los datos robados.

Las personas y entidades objeto de la última ronda de sanciones de la OFAC se enumeran a continuación:

  • Empresa de desarrollo tecnológico Amnokgang , una empresa de TI que administra delegaciones de trabajadores de TI en el extranjero y lleva a cabo otras actividades de adquisición ilícita para obtener y vender tecnología militar y comercial a través de sus redes en el extranjero.
  • Nguyen Quang Viet , el director ejecutivo de la empresa vietnamita Compañía de servicios internacionales Quangvietdnbg Limited que facilita los servicios de conversión de divisas para los norcoreanos. Se estima que la empresa convirtió alrededor de 2,5 millones de dólares en criptomonedas entre mediados de 2023 y mediados de 2025.
  • Do Phi Khanh , un asociado de Kim Se Un, quien fue sancionado por los EE. UU. en julio de 2025. Al parecer, Do actuó como apoderado de Kim y permitió que Kim utilizara su identidad para abrir cuentas bancarias y blanquear las ganancias de los trabajadores de TI.
  • Hoang Van Nguyen , quien también ayuda a Kim a abrir cuentas bancarias y le permite realizar transacciones con criptomonedas.
  • Yun Song Guk , un ciudadano norcoreano que dirigió un grupo de trabajadores de TI que realizaban trabajos de TI independientes desde Boten (Laos) desde al menos 2023. Yun ha coordinado varias docenas de transacciones financieras por valor de más de 70 000 dólares con Hoang Minh Quang relacionado con los servicios de TI, y ha trabajado con York Louis Celestino Herrera para desarrollar contratos de servicios de TI independientes.

La novedad se produce cuando LevelBlue destacó el uso de Astrill VPN por parte de los trabajadores de TI para llevar a cabo sus operaciones mientras se encuentran en países como China, debido a la capacidad del servicio de eludir el Gran Cortafuegos de China. La idea es canalizar el tráfico a través de los nodos de salida de EE. UU., lo que les permitirá hacerse pasar por empleados domésticos legítimos.

«Estos actores de amenazas suelen operar desde China y no desde Corea del Norte por dos razones: una infraestructura de Internet más confiable y la capacidad de aprovechar los servicios de VPN para ocultar su verdadero origen geográfico», dijo el investigador de seguridad Tue Luu dijo . «Los subgrupos del Grupo Lazarus, que incluyen Entrevista contagiosa , confían en esta capacidad para acceder a Internet global sin restricciones, gestionar la infraestructura de mando y control y enmascarar su verdadera ubicación».

La empresa de ciberseguridad también dijo que detectó un intento fallido de Corea del Norte de infiltrarse en una organización al responder a un anuncio de búsqueda de ayuda. El empleado de TI, que fue contratado el 15 de agosto de 2025 como empleado remoto para trabajar con los datos de Salesforce, fue despedido 10 días después, tras mostrar indicadores que mostraban inicios de sesión consistentes desde China.

Un aspecto notable del oficio de Jasper Sleet es el uso de la inteligencia artificial para permitir la fabricación de identidades, la ingeniería social y la persistencia operativa a largo plazo a bajo costo, lo que subraya cómo los servicios impulsados por la IA pueden reducir las barreras técnicas y aumentar las capacidades de los actores de amenazas.

«Jasper Sleet aprovecha la inteligencia artificial a lo largo del ciclo de vida del ataque para ser contratado, permanecer contratado y hacer un uso indebido del acceso a gran escala», dijo Microsoft dijo . «Los actores de amenazas utilizan la inteligencia artificial para acortar el proceso de reconocimiento que sirve de base para el desarrollo de personas digitales convincentes adaptadas a mercados laborales y funciones específicos».

Otro componente crucial implica el uso de una aplicación de inteligencia artificial llamada Faceswap para insertar los rostros de los trabajadores de TI norcoreanos en los documentos de identidad robados y generar fotos pulidas para los currículums. De este modo, estos esfuerzos no solo pretenden mejorar la precisión de sus campañas, sino también aumentar la credibilidad mediante la creación de identidades digitales convincentes.

Además, se considera que la amenaza de los trabajadores de TI remotos ha aprovechado las herramientas de inteligencia artificial de las agencias para crear sitios web empresariales falsos y generar, refinar y volver a implementar rápidamente componentes de malware, en algunos casos mediante el jailbreak de modelos lingüísticos grandes (LLM).

«Los actores de amenazas, como los trabajadores de TI remotos de Corea del Norte, dependen de un acceso confiable y a largo plazo», afirma Microsoft. «Por este hecho, los defensores y defensoras deben tratar el empleo fraudulento y el uso indebido del acceso como un escenario en el que corren riesgos desde dentro, y centrarse en detectar el uso indebido de credenciales legítimas, los patrones de acceso anormales y una actividad sostenida lenta y lenta».

En un informe detallado publicado por Flare e IBM X-Force en el que se examinan las tácticas y técnicas empleadas por los trabajadores de TI, se ha descubierto que los actores de amenazas utilizan hojas de tiempo para rastrear las solicitudes de empleo y el progreso del trabajo, IP Messenger (también conocido como IPMsg) para la comunicación interna descentralizada y Google Translate para traducir descripciones de trabajos, crear solicitudes e incluso interpretar las respuestas de herramientas como ChatGPT.

El esquema de trabajadores de TI se basa en una estructura operativa de varios niveles en la que participan reclutadores, facilitadores, trabajadores de TI y colaboradores, cada uno de los cuales desempeña un papel distinto -

  • Reclutadores, que son responsables de seleccionar a los posibles trabajadores de TI y de grabar las sesiones de entrevistas iniciales para enviarlas a los facilitadores.
  • Facilitadores y trabajadores de TI, que se encargan de la creación de personas, la obtención de un empleo independiente o de tiempo completo y la incorporación de nuevos empleados.
  • Colaboradores, que son reclutados para donar su identidad o información personal para ayudar a los trabajadores de TI a completar el proceso de contratación y recibir computadoras portátiles emitidas por la empresa.
enlaces

«Con la ayuda de colaboradores occidentales reclutados, principalmente de LinkedIn y GitHub, que, voluntaria o involuntariamente, proporcionan sus identidades para utilizarlas en el esquema de fraude de los trabajadores de TI, NKITW puede penetrar de manera más profunda y confiable en una organización durante un período de tiempo más largo», dijeron las empresas dijo en un informe compartido con The Hacker News.

«Las operaciones de los trabajadores de TI de Corea del Norte están generalizadas y profundamente integradas en el partido-estado de la RPDC. Es un componente integral del mecanismo de generación de ingresos y evasión de sanciones de la RPDC».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.