Actores de amenazas norcoreanos han adoptado nuevas tácticas para intensificar los ataques internos con falsos trabajadores de TI, incluida la extorsión de sus antiguos empleadores, según han descubierto los investigadores de Secureworks.
La empresa de ciberseguridad dijo que el desarrollo, atribuido al grupo de amenazas Nickel Tapestry, marca una desviación significativa de las tácticas establecidas anteriormente.
En muchos esquemas anteriores de falsos trabajadores de TI de Corea del Norte, los actores de amenazas demostraron una motivación financiera al mantener el empleo y cobrar un cheque de pago.
Sin embargo, en un caso reciente observado por los investigadores, un contratista exfiltró datos confidenciales casi inmediatamente después de comenzar a trabajar a mediados de 2024, antes de amenazar con publicar los datos en línea en una demanda de rescate enviada a sus antiguos empleadores.
La práctica de los ciudadanos norcoreanos de utilizar identidades robadas o falsificadas para obtener empleo en empresas occidentales con falsas pretensiones se ha documentado en los EE. UU., el Reino Unido y Australia durante varios años.
Esta actividad está diseñada principalmente para generar ingresos para la República Popular Democrática de Corea (RPDC), lo que contribuye al programa de armas del régimen.
El actor norcoreano Nickel Tapestry ha estado históricamente a la vanguardia de estos esquemas. Secureworks ha observado recientemente una evolución en las tácticas que cree que han sido utilizadas por el actor.
Una de las técnicas del grupo es evitar el uso de computadoras portátiles corporativas redirigiéndolas a los facilitadores en granjas de computadoras portátiles. En algunos casos, los contratistas solicitaron permiso para usar una computadora portátil personal en lugar de un dispositivo proporcionado por la empresa y mostraron una fuerte preferencia por una configuración de infraestructura de escritorio virtual (VDI).
En el caso en el que se emitió una demanda de rescate, el atacante accedió a los datos de la empresa utilizando direcciones IP dentro del espacio de direcciones VPN de Astrill y direcciones proxy residenciales para ocultar la dirección IP de origen real utilizada para la actividad maliciosa.
Poco después de que la organización despidiera al contratista debido a su bajo rendimiento, la empresa recibió una serie de correos electrónicos desde una dirección de correo electrónico externa de Outlook. Uno de los correos electrónicos incluía archivos adjuntos ZIP que contenían pruebas de los datos robados, y otro exigía un rescate de seis cifras en criptomonedas para evitar la publicación de los documentos robados.
También, se observó que los actores de amenazas usaban Chrome Remote Desktop y AnyDesk para el acceso remoto.
Históricamente, los trabajadores de TI de Corea del Norte evitaban habilitar el video durante las llamadas, y a veces afirmaban tener problemas con las cámaras web en las computadoras portátiles proporcionadas por la empresa. Sin embargo, Nickel Tapestry parece estar usando el software gratuito SplitCam, publicitado como un clon de video virtual, lo que les permite facilitar las llamadas de la empresa.
También se ha observado que los actores de amenazas actualizan la cuenta bancaria para recibir cheques de pago varias veces en un breve período. Esto incluye el uso de servicios de pago digitales para eludir los sistemas bancarios tradicionales.
Secureworks dijo que la expansión de las operaciones de Nickel Tapestry para incluir el robo de propiedad intelectual con el potencial de obtener ganancias monetarias adicionales a través de la extorsión ha cambiado significativamente el perfil de riesgo de las organizaciones que contratan inadvertidamente a un trabajador de TI de Corea del Norte.
Se recomienda a las empresas que emplean trabajadores de TI remotos que realicen un proceso de entrevista exhaustivo para identificar actividades sospechosas. Ésto incluye:
- Verificar la identidad de los candidatos comprobando la coherencia de la documentación, incluido su nombre, nacionalidad, datos de contacto e historial laboral
- Realizar entrevistas en persona o por vídeo y supervisar la actividad sospechosa durante las llamadas
- Tener cuidado con las solicitudes de los candidatos de cambiar su dirección durante el proceso de incorporación y de enviar los cheques de pago a servicios de transferencia de dinero
- Restringir el uso de herramientas de acceso remoto no autorizadas y limitar el acceso a sistemas no esenciales.
La investigación publicada en octubre de 2024 por Unit 42 de Palo Alto Networks destacó la nueva actividad de los actores de amenazas norcoreanos que se hacen pasar por reclutadores para instalar malware en los dispositivos de los solicitantes de empleo de la industria tecnológica.
Los dos programas maliciosos asociados a la campaña son el descargador BeaverTail y la puerta trasera InvisibleFerret.