Los investigadores de ciberseguridad han identificado vínculos de infraestructura entre los actores de amenazas norcoreanos detrás de los esquemas fraudulentos de trabajadores de TI y una estafa de financiación colectiva de 2016.
La nueva evidencia sugiere que los grupos de amenazas con sede en Pyongyang pueden haber llevado a cabo estafas ilícitas para ganar dinero que son anteriores al uso de trabajadores de TI, dijo la Unidad Contra Amenazas (CTU) de SecureWorks en un informe compartido con The Hacker News.
El plan de fraude a los trabajadores de TI, que salió a la luz a finales de 2023, involucra a actores norcoreanos infiltrarse en empresas en Occidente y otras partes del mundo buscando subrepticiamente empleo con identidades falsas para generar ingresos para la nación afectada por las sanciones. También se rastrea bajo los nombres Famous Chollima, Nickel Tapestry, UNC5267 y Wagemole.
El personal de TI, según el Ministerio de Asuntos Exteriores de Corea del Sur (MoFA), ha sido evaluado como parte de la 313.ª Oficina General, una organización dependiente del Departamento de Industria de Municiones del Partido de los Trabajadores de Corea.
Otro aspecto notable de estas operaciones es que los trabajadores de TI son enviados habitualmente a China y Rusia para trabajar para empresas fachada como Yanbian Silverstar y Volasys Silver Star, que anteriormente fueron objeto de sancionado por la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro en septiembre de 2018.
Ambas entidades han sido acusadas de participar y facilitar la exportación de trabajadores de Corea del Norte con el objetivo de generar ingresos para el Reino Ermitaño o el Partido de los Trabajadores de Corea y ocultar a los clientes la verdadera nacionalidad de los trabajadores.
También se impusieron sanciones contra el director general norcoreano de Yanbian Silverstar, Jong Song Hwa, por su papel en el control del “flujo de ingresos de varios equipos de desarrolladores en China y Rusia”.
En octubre de 2023, el gobierno de EE. UU. anunció la incautación de 17 dominios de Internet que se hacían pasar por empresas de servicios de TI con sede en EE. UU. para defraudar a empresas en el país y en el extranjero al permitir que los trabajadores de TI de Corea del Norte ocultaran sus verdaderas identidades y ubicaciones al presentar solicitudes en línea para hacer trabajo independiente.
Entre los dominios confiscados se encuentra un sitio web llamado “silverstarchina[.]com.” El análisis de Secureworks de los registros históricos de WHOIS ha revelado que la dirección postal del registrante coincide con la ubicación informada de las oficinas de Yanbian Silverstar ubicadas en la prefectura de Yanbian y que el mismo correo electrónico y dirección postal del registrante se utilizaron para registrar otros nombres de dominio.
Uno de esos dominios en cuestión es kratosmemory.[.]com, que se utilizó anteriormente en relación con una campaña de financiación colectiva de IndieGoGo de 2016 que luego se descubrió que era una estafa después de que los patrocinadores no recibieron un producto ni un reembolso del vendedor. La campaña contó con 193 patrocinadores y recaudó fondos por una suma de 21.877 dólares.
“Las personas que donaron a esta campaña no recibieron nada de lo que se les prometió”, comenta uno de los comentarios en el crowdfunding página reclamos. “Tampoco han recibido ninguna actualización. Esto fue una completa estafa”.
La empresa de ciberseguridad también señaló que la información del registrante de WHOIS para kratosmemory[.]com se actualizó a mediados de 2016 para reflejar una persona diferente llamada Dan Moulding, que coincide con el Perfil de usuario de IndieGoGo por la estafa de Kratos.
“Esta campaña de 2016 fue un esfuerzo de bajo esfuerzo y pequeño retorno monetario en comparación con los esquemas más elaborados de trabajadores de TI de Corea del Norte activos al momento de esta publicación”, dijo Secureworks. “Sin embargo, muestra un ejemplo anterior de actores de amenazas norcoreanos que experimentaron con varios esquemas para ganar dinero”.
El desarrollo se produce cuando Japón, Corea del Sur y EE. UU. emitieron una advertencia conjunta a la industria de la tecnología blockchain con respecto a los ataques persistentes a varias entidades del sector por parte de actores cibernéticos de la República Popular Democrática de Corea (RPDC) para realizar atracos de criptomonedas.
“Los grupos avanzados de amenaza persistente afiliados a la RPDC, incluido el Grupo Lazarus, […] continúan demostrando un patrón de comportamiento malicioso en el ciberespacio mediante la realización de numerosas campañas de delitos cibernéticos para robar criptomonedas y apuntar a intercambios, custodios de activos digitales y usuarios individuales”, dijeron los gobiernos. dicho.
Algunas de las empresas objetivo en 2024 incluyeron DMM Bitcoin, UpbitRain Management, WazirX y Radiant Capital, lo que provocó el robo de más de 659 millones de dólares en criptomonedas. El anuncio marca la primera confirmación oficial de que Corea del Norte estuvo detrás del ataque a WazirX, el mayor intercambio de criptomonedas de la India.
“Este es un momento crítico. Instamos a una rápida acción y apoyo internacional para recuperar los activos robados”, dijo el fundador de WazirX, Nischal Shetty. al corriente en X. “Tenga la seguridad de que no dejaremos piedra sin remover en nuestra búsqueda de la justicia”.
El mes pasado, la empresa de inteligencia blockchain Chainalysis también reveló que los actores de amenazas afiliados a Corea del Norte han robado 1.340 millones de dólares en 47 hacks de criptomonedas en 2024, frente a 660,50 millones de dólares en 20 incidentes en 2023.
About the Author
