El esquema de Corea del Norte para falsificar empleados de TI se ha centrado en empresas europeas, lo que confirma la naturaleza global de esta amenaza, según el Grupo de Inteligencia de Amenazas de Google (GTIG).
Este cambio se debe a las dificultades que enfrentan los empleados de TI de la República Popular Democrática de Corea (RPDC) para buscar y mantener empleo en EE. UU. en los últimos meses.
Los investigadores creen que esto probablemente se deba a la creciente concienciación sobre la amenaza que representan los empleados de TI a través de informes públicos y las recientes acusaciones presentadas por las autoridades estadounidenses contra personas sospechosas de participar en estos esquemas.
Google enfatizó que Estados Unidos sigue siendo un objetivo clave para las operaciones de trabajadores de TI falsos, que se utilizan para generar ingresos y robar datos confidenciales en nombre del gobierno de la RPDC.
Esto se logra mediante la contratación de trabajadores de TI remotos en empresas de todo el mundo, lo que les permite acceso privilegiado a sistemas y datos confidenciales en sectores críticos como la defensa.
Los investigadores destacaron varios casos de actores de la RPDC que utilizan identidades falsas para obtener empleos independientes en empresas europeas.
A finales de 2024, un trabajador de TI de la RPDC buscó activamente empleo en múltiples organizaciones en Europa, especialmente en la base industrial de defensa y los sectores gubernamentales.
Este individuo operaba al menos 12 identidades falsas en Europa y Estados Unidos, proporcionando referencias falsas y estableciendo relaciones con los reclutadores de empleo para aumentar su credibilidad.
Otros perfiles de trabajadores de TI intentaron conseguir empleo en Alemania y Portugal. Tenían credenciales de inicio de sesión para cuentas de usuario de sitios web de empleo europeos y plataformas de gestión de capital humano.
Además, trabajadores de TI de la RPDC llevaron a cabo una cartera diversa de proyectos en el Reino Unido, que abarca desde el desarrollo web tradicional hasta aplicaciones avanzadas de blockchain e inteligencia artificial.
Los trabajadores de la RPDC han empleado tácticas engañosas para ocultar su identidad, alegando falsamente nacionalidades de diversos países, como Italia, Japón, Malasia, Singapur, Ucrania, Estados Unidos y Vietnam.
También recurren a facilitadores para burlar la verificación de identidad y recibir fondos fraudulentamente. La investigación de GTIG destapó una compleja cadena de contactos en torno a estos facilitadores.
Esto incluyó el descubrimiento de la información de contacto de un intermediario especializado en pasaportes falsos, lo que indica una estrategia coordinada para obtener documentos de identidad fraudulentos.
Los trabajadores de TI en Europa fueron reclutados a través de diversas plataformas en línea, como Upwork, Telegram y Freelancer. El pago de sus servicios se facilitó mediante criptomonedas, lo que permitió a los cibercriminales ocultar el origen y el destino de sus fondos.
Los cibercriminales norcoreanos han utilizado identidades falsas para conseguir empleo como trabajadores de TI en empresas extranjeras, especialmente en Estados Unidos, durante varios años, aprovechando las oportunidades de trabajo remoto para ocultar sus identidades.
Esta táctica tiene varios propósitos, incluyendo el uso de los salarios para financiar el régimen de la RPDC y el uso de su acceso privilegiado para robar datos confidenciales de las redes de sus empleadores.
Durante el último año, estas operaciones se han intensificado hasta abarcar la extorsión, mediante la cual los trabajadores de TI roban datos confidenciales y códigos de sus antiguos empleadores y los mantienen como rehenes hasta que se les exige un rescate.
En la nueva investigación, GTIG evaluó que, desde finales de octubre de 2024, los trabajadores de TI han aumentado el volumen de intentos de extorsión y han atacado a organizaciones más grandes.
Los investigadores vincularon esta tendencia con el aumento de las acciones de las fuerzas del orden estadounidenses contra los trabajadores de la RPDC, ya que esto podría estar impulsándolos a adoptar medidas más agresivas para mantener sus fuentes de ingresos.
Se ha instado a las organizaciones a implementar controles de verificación más rigurosos para los trabajadores de TI remotos para evitar ser víctimas de esta táctica.
