El Departamento de Justicia de Estados Unidos (DoJ) ha acusado formalmente a 14 ciudadanos pertenecientes a la República Popular Democrática de Corea (RPDC o Corea del Norte) por su presunta participación en una conspiración de larga data para violar las sanciones y cometer fraude electrónico, lavado de dinero y robo de identidad. buscando empleo ilegalmente en empresas y organizaciones sin fines de lucro estadounidenses.
“Los conspiradores, que trabajaban para las empresas Yanbian Silverstar y Volasys Silverstar, controladas por la RPDC, ubicadas en la República Popular China (RPC) y la Federación Rusa (Rusia), respectivamente, conspiraron para utilizar identidades falsas, robadas y prestadas de Estados Unidos y otras personas para ocultar sus identidades norcoreanas y ubicaciones en el extranjero y obtener empleo como trabajadores remotos de tecnología de la información (TI), “el Departamento de Justicia dicho.
Se ha alegado que el plan de trabajadores de TI generó al menos 88 millones de dólares para el régimen norcoreano en un lapso de seis años. Además, los trabajadores remotos participaron en el robo de información, como código fuente propietario, y amenazaron con filtrar los datos a menos que se pagara un rescate. Los ingresos ilícitos obtenidos de esta manera fueron luego enviados a través de los sistemas financieros estadounidenses y chinos de regreso a Pyongyang.
El Departamento de Justicia dijo que tiene conocimiento de un empleador que sufrió cientos de miles de dólares en daños después de negarse a ceder a la demanda de extorsión de un trabajador de TI de Corea del Norte, quien luego terminó filtrando la información confidencial en línea.
El individuos identificados están debajo –
- Jong Song Hwa (정성화)
- Ri Kyong Sik (리경식)
- Canción de Kim Ryu (김류성)
- Rim Un Chol (림은철)
- Kim Mu Rim (김무림)
- Cho Chung Pom (조충범)
- Canción de Hyon Chol (현철성)
- Son Un Chol (손은철)
- Sok Kwang Hyok (석광혁)
- Choe Jong Yong (최정용)
- Ko Chung Sok (고충석)
- Kim Ye Won (김예원)
- Jong Kyong Chol (정경철), y
- Jang Chol Myong (철명)
Se dice que los 14 conspiradores trabajaron en diversas capacidades, desde altos directivos de empresas hasta trabajadores de TI. Las dos empresas sancionadas han empleado al menos 130 trabajadores informáticos norcoreanos, conocidos como guerreros informáticos, que participaron en “competencias de socialismo” organizadas por las empresas para generar dinero para la RPDC. Los mejores resultados recibieron bonificaciones y otros premios.
Este hecho es el último de una serie de acciones que el gobierno de EE. UU. ha tomado en los últimos años para abordar el esquema fraudulento de trabajadores de TI, una campaña seguida por la comunidad de ciberseguridad bajo el sobrenombre de Wagemole.
El Departamento de Justicia dijo que desde entonces ha incautado 29 dominios de sitios web falsos (17 en octubre de 2023 y 12 en mayo de 2024) utilizados por trabajadores de TI de la RPDC para imitar a las empresas de servicios de TI occidentales para respaldar la buena fe de sus intentos de conseguir contratos de trabajo remoto para EE. UU. y otros países. negocios a nivel mundial. La agencia dijo que también ha incautado acumulativamente 2,26 millones de dólares (incluidos 1,5 millones de dólares incautados en octubre de 2023) de cuentas bancarias vinculadas al plan.
Por otra parte, el Departamento de Estado ha anunciado una oferta de recompensa de hasta 5 millones de dólares por información sobre las empresas fachada, las personas identificadas y sus actividades ilícitas.
“Los esquemas de trabajadores de TI de la RPDC implican el uso de correos electrónicos seudónimos, redes sociales, plataformas de pago y cuentas de sitios de trabajo en línea, así como sitios web falsos, computadoras proxy, redes privadas virtuales, servidores privados virtuales y terceros involuntarios ubicados en los Estados Unidos. y en otros lugares”, dijo el Departamento de Justicia. “Los conspiradores utilizaron muchas técnicas para ocultar sus identidades norcoreanas a los empleadores”.
Uno de esos métodos es el uso de granjas de computadoras portátiles en los EE. UU., pagando a personas que residen en el país para que reciban e instalen computadoras portátiles proporcionadas por la empresa y permitan a los trabajadores de TI conectarse de forma remota a través del software instalado en ellas. La idea es dar la impresión de que acceden a trabajo desde Estados Unidos cuando, en realidad, se encuentran en China o Rusia.
Los 14 conspiradores han sido acusados de conspiración para violar la Ley de Poderes Económicos de Emergencia Internacional, conspiración para cometer fraude electrónico, conspiración para cometer lavado de dinero y conspiración para cometer robo de identidad. Ocho de ellos han sido acusados de usurpación de identidad agravada. De ser declarados culpables, cada uno de ellos se enfrenta a una pena máxima de 27 años de prisión.
Atraco criptográfico de Radiant Capital vinculado al aguanieve de citrino
La estafa de los trabajadores de TI es solo uno de los muchos métodos que Corea del Norte ha adoptado para generar ingresos ilícitos y apoyar sus objetivos estratégicos; los otros son el robo de criptomonedas y los ataques a empresas bancarias y blockchain.
A principios de este mes, la plataforma de finanzas descentralizadas (DeFi) Radiant Capital atribuido un actor de amenazas vinculado a Corea del Norte apodado Citrine Sleet al Robo de 50 millones de dólares en criptomonedas que tuvo lugar tras una violación de sus sistemas en octubre de 2024.
El adversario, también llamado Gleaming Piscis, Labyrinth Chollima, Nickel Academy y UNC4736, es un subgrupo dentro del Grupo Lazarus. También es conocido por orquestar una campaña persistente de ingeniería social denominada Operación Dream Job que tiene como objetivo atraer a los desarrolladores con oportunidades laborales lucrativas para engañarlos y descargar malware.
Vale la pena señalar que estos esfuerzos también toman diferentes formas dependiendo del grupo de actividades detrás de ellos, que pueden variar desde pruebas de codificación (Contagious Interview) hasta colaboraciones en un proyecto de GitHub (Jade Sleet).
El ataque dirigido a Radiant Capital no fue diferente, ya que el actor de amenazas se acercó a un desarrollador de la compañía en septiembre en Telegram haciéndose pasar por un excontratista de confianza, aparentemente solicitando comentarios sobre su trabajo como parte de una nueva oportunidad profesional relacionada con los contratos inteligentes. revisión de cuentas.
El mensaje incluía un enlace a un archivo ZIP que contenía un archivo PDF que, a su vez, entregaba una puerta trasera de macOS con nombre en clave INLETDRIFT que, además de mostrar un documento señuelo a la víctima, también establecía comunicaciones sigilosas con un servidor remoto (“atokyonews[.]com”).
“Los atacantes pudieron comprometer múltiples dispositivos de desarrolladores”, dijo Radiant Capital. “Las interfaces frontales mostraban datos de transacciones benignos mientras que las transacciones maliciosas se firmaban en segundo plano. Las comprobaciones y simulaciones tradicionales no mostraron discrepancias obvias, lo que hacía que la amenaza fuera prácticamente invisible durante las etapas normales de revisión”.