Los trabajadores norcoreanos de tecnología de la información (TI) que obtienen empleo con identidades falsas en empresas occidentales no sólo están robando propiedad intelectual, sino que también están intensificando la demanda de rescates para no filtrarla, lo que marca un nuevo giro en sus ataques con motivación financiera.
“En algunos casos, los trabajadores fraudulentos exigieron pagos de rescate a sus antiguos empleadores después de obtener acceso interno, una táctica que no se había observado en esquemas anteriores”, afirmó la Unidad Contra Amenazas (CTU) de Secureworks. dicho en un análisis publicado esta semana. “En un caso, un contratista extrajo datos de propiedad casi inmediatamente después de comenzar a trabajar a mediados de 2024”.
La actividad, añadió la empresa de ciberseguridad, comparte similitudes con un grupo de amenazas que rastrea como Nickel Tapestry, también conocido como Famous Chollima y UNC5267.
El esquema fraudulento de trabajadores de TI, orquestado con la intención de promover los intereses estratégicos y financieros de Corea del Norte, se refiere a una operación de amenaza interna que implica infiltrarse en empresas en Occidente para generar ingresos ilícitos para la nación afectada por las sanciones.
Estos trabajadores norcoreanos suelen ser enviados a países como China y Rusia, desde donde se hacen pasar por trabajadores independientes en busca de posibles oportunidades laborales. Como otra opción, también se ha descubierto que roban las identidades de personas legítimas que residen en los EE. UU. para lograr los mismos objetivos.
También se sabe que solicitan cambios en las direcciones de entrega de las computadoras portátiles proporcionadas por la empresa, a menudo redirigiéndolas a intermediarios en las granjas de computadoras portátiles, quienes son compensados por sus esfuerzos por facilitadores extranjeros y son responsables de instalar software de escritorio remoto que permite a Corea del Norte actores para conectarse a las computadoras.
Es más, varios contratistas podrían terminar siendo contratados por la misma empresa o, alternativamente, un individuo podría asumir varias personas.
Secureworks dijo que también ha observado casos en los que los contratistas falsos solicitaron permiso para usar sus propias computadoras portátiles personales e incluso provocaron que las organizaciones cancelaran el envío de la computadora portátil por completo porque cambiaron la dirección de entrega mientras estaba en tránsito.
“Este comportamiento se alinea con el oficio de Nickel Tapestry de intentar evitar las computadoras portátiles corporativas, eliminando potencialmente la necesidad de un facilitador en el país y limitando el acceso a la evidencia forense”, dijo. “Esta táctica permite a los contratistas utilizar sus computadoras portátiles personales para acceder de forma remota a la red de la organización”.
En una señal de que los actores de amenazas están evolucionando y llevando sus actividades al siguiente nivel, ha salido a la luz evidencia que demuestra cómo un contratista cuyo empleo fue despedido por una empresa anónima por mal desempeño recurrió al envío de correos electrónicos de extorsión que incluían archivos adjuntos ZIP que contenían pruebas de robo. datos.
“Este cambio cambia significativamente el perfil de riesgo asociado con la contratación inadvertida de trabajadores de TI norcoreanos”, dijo en un comunicado Rafe Pilling, director de Inteligencia de Amenazas de Secureworks CTU. “Ya no buscan sólo un sueldo fijo, sino que buscan sumas más altas, más rápidamente, mediante el robo de datos y la extorsión, desde el interior de las defensas de la empresa”.
Para hacer frente a la amenaza, se ha instado a las organizaciones a estar alerta durante el proceso de contratación, lo que incluye realizar controles de identidad exhaustivos, realizar entrevistas en persona o por vídeo, y estar atentos a los intentos de desviar los equipos de TI corporativos enviados a los contratistas declarados. dirección particular, enviar cheques de pago a servicios de transferencia de dinero y acceder a la red corporativa con herramientas de acceso remoto no autorizadas.
“Esta escalada y los comportamientos enumerados en la alerta del FBI demuestran la naturaleza calculada de estos esquemas”, dijo Secureworks CTU, señalando el comportamiento financiero sospechoso de los trabajadores y sus intentos de evitar habilitar el video durante las llamadas.
“La aparición de demandas de rescate marca una desviación notable de los esquemas anteriores de Nickel Tapestry. Sin embargo, la actividad observada antes de la extorsión se alinea con esquemas anteriores que involucraban a trabajadores norcoreanos”.