Los trabajadores de TI de Corea del Norte se han estado infiltrando en empresas internacionales asegurando puestos remotos con identidades falsas.
Esta táctica no sólo viola las sanciones internacionales sino que también plantea importantes riesgos de ciberseguridad, incluido el robo de datos y la instalación de puertas traseras en sistemas comprometidos.
El Grupo Insikt ha revelado estas actividades, destacando el uso de malware sofisticado y empresas fachada para evadir la detección.
El régimen de Corea del Norte se ha adaptado al endurecimiento de las sanciones intensificando las actividades ilícitas, incluido el ciberdelito.
El aumento del trabajo remoto ha brindado nuevas oportunidades para que los trabajadores de TI de Corea del Norte consigan empleo en empresas globales, a menudo utilizando perfiles fraudulentos y empresas fachada.
Mientras que los expertos de Insikt Group descubrieron que estos operativos están vinculados a campañas maliciosas dirigidas a industrias que dependen de la propiedad intelectual, como las criptomonedas y el desarrollo de software.
Cadena de infección de hurón invisible
Estas herramientas de malware a menudo se entregan a través de entrevistas de trabajo o desafíos de codificación aparentemente legítimos.
Por ejemplo, un desarrollador informó que se le pidió que descargara un archivo de desafío de codificación que contenía una función maliciosa, que luego se identificó como un ladrón de información de BeaverTail.
Corea del Norte opera una red de empresas fachada que imitan empresas legítimas de TI. Estas entidades crean ofertas de trabajo falsas en plataformas como Telegram, GitHub y Upwork.
Se descubrió que una de esas empresas, «AgencyHill99», publicaba anuncios de trabajo en múltiples plataformas, incluido un puesto de desarrollador de blockchain en niveles.fyi.
El sitio web de la empresa se registró en Hostinger pero ya no está activo.
Para contrarrestar estas amenazas, las organizaciones deben implementar procesos sólidos de verificación de identidad para contrataciones remotas, incluidas entrevistas en video y documentos de identificación notariados.
Los controles técnicos como el monitoreo de amenazas internas, la geolocalización de dispositivos y la restricción de la exposición de datos también son cruciales. La concientización y la capacitación de los equipos de recursos humanos y seguridad de TI son esenciales para evitar que estos actores se infiltren en operaciones comerciales críticas.
La infiltración de trabajadores de TI norcoreanos en empresas internacionales plantea una doble amenaza de violaciones de sanciones y graves riesgos de ciberseguridad.
A medida que el trabajo remoto continúa creciendo, es crucial que las organizaciones y los gobiernos colaboren para mejorar las medidas de seguridad y compartir inteligencia para combatir esta amenaza en evolución.
