Un grupo de amenazas vinculado a Corea del Norte está siendo contratado discretamente por empresas reales. Jasper Sleet, un actor de amenazas asociado a Corea del Norte, ha estado creando identidades profesionales falsas y utilizándolas para conseguir empleos legítimos en TI de forma remota, lo que les proporciona acceso directo a entornos en la nube y datos internos sensibles.

El cambio al trabajo remoto e híbrido tras la pandemia de COVID-19 transformó la forma en que las empresas contratan personal. Las organizaciones comenzaron a depender en gran medida de entrevistas en línea, procesos de incorporación digital y herramientas de acceso remoto.

Esto abrió una nueva ventana para los actores de amenazas. Jasper Sleet vio este cambio como una oportunidad y empezó a utilizar identidades robadas o fabricadas, combinadas con técnicas asistidas por IA, para hacerse pasar por candidatos reales y ser contratado en puestos de confianza dentro de organizaciones objetivo.

Analistas e investigadores de Microsoft identificaron y rastrearon el comportamiento de Jasper Sleet en entornos en la nube y plataformas de RRHH, observando cómo el grupo ataca sistemáticamente a empresas que utilizan software de RRHH ampliamente adoptado, como Workday.

Según Microsoft Threat Intelligence, el actor de amenazas accede a sitios externos de empleo para revisar puestos vacantes y luego usa IA generativa para estudiar las ofertas de trabajo, extraer las habilidades requeridas y construir perfiles digitales falsos personalizados que pueden superar los filtros de reclutamiento.

En otras palabras, no se trata de ataques aleatorios. El grupo investiga a la empresa objetivo, adapta el lenguaje de la oferta de empleo y envía solicitudes convincentes diseñadas para engañar a los equipos de contratación.

Una vez contratado, Jasper Sleet completa los pasos normales de incorporación, configura cuentas de nómina y obtiene acceso a herramientas internas como Microsoft Teams, SharePoint, OneDrive y Exchange Online.

Microsoft ha observado un aumento en alertas de "viajes imposibles" vinculadas a nuevos empleados en los primeros meses tras la incorporación, lo que señala un comportamiento sospechoso en trabajadores remotos de TI.

El grupo puede entonces moverse libremente por el entorno en la nube de la organización, acceder a archivos sensibles y, en algunos casos, llevar a cabo robos de datos o extorsión.

La escala de esta amenaza es mayor de lo que parece: Jasper Sleet no solo apunta a un tipo de empresa.

Cualquier organización que contrate trabajadores remotos y utilice plataformas de RRHH conectadas a la nube está potencialmente en riesgo. Microsoft ha publicado esta investigación para ayudar a los equipos de seguridad y RRHH a detectar candidatos sospechosos a tiempo, antes de que se les otorgue acceso.

Cómo opera Jasper Sleet dentro de las plataformas de RRHH

El aspecto más revelador del enfoque de Jasper Sleet es la precisión con la que explotan los flujos de trabajo del software de RRHH.

En la fase previa al reclutamiento, Microsoft observó que el grupo realizaba llamadas API programáticas a los puntos finales del servicio web de reclutamiento de Workday, accesibles a través de sitios externos de empleo.

Estas llamadas accedían a datos sobre ofertas de trabajo, solicitudes activas y cuestionarios, lo que ilustra los patrones sospechosos de llamadas API observados desde la infraestructura conocida de Jasper Sleet.

Lo que diferencia esta actividad de la de un candidato normal es la repetición. Microsoft observó que el grupo utilizaba múltiples cuentas externas para acceder a los mismos puntos finales de la API en un patrón constante y repetitivo. Este tipo de comportamiento no coincide con la forma en que un solicitante normal interactúa con un portal de contratación.

Durante la fase de reclutamiento, Jasper Sleet se comunica con los equipos de contratación a través de correo electrónico y herramientas de videoconferencia como Microsoft Teams, Zoom y Cisco Webex.

Tras ser contratado, el actor de amenazas inicia sesión en la cuenta recién creada de Workday y actualiza los detalles de nómina desde infraestructura conocida de Jasper Sleet, lo que registra actividad de inicio de sesión posterior a la incorporación desde direcciones IP marcadas.

Microsoft recomienda varios pasos que las organizaciones pueden tomar para reducir la exposición a esta amenaza. Los equipos de seguridad y RRHH deben trabajar juntos, ya que esta campaña abarca ambas funciones de una manera que ningún equipo puede abordar por sí solo.

Las organizaciones deberían habilitar conectores en Microsoft Defender para Cloud Apps para obtener visibilidad sobre la actividad en Workday, DocuSign, Zoom y Cisco Webex.

Estos conectores permiten a los equipos de seguridad rastrear eventos de API, monitorear la actividad de cuentas externas y cruzar direcciones IP sospechosas con fuentes de inteligencia de amenazas.

Cualquier evento vinculado a empleados recién contratados que provenga de proxies anónimos o múltiples ubicaciones geográficas debe ser marcado e investigado rápidamente.

Los equipos de RRHH y los empleados también deberían recibir formación sobre ingeniería social. Las personas involucradas en la contratación deben saber cómo reconocer comportamientos sospechosos en entrevistas, como candidatos que evitan encender sus cámaras, dan detalles de antecedentes inconsistentes o muestran una urgencia inusual en la configuración de la nómina.

Detectar estas señales de alerta temprano, antes de que se finalice la contratación, es mucho más efectivo que descubrir la amenaza después de que el actor ya tenga acceso.