Productos FTTH

Tienda FFTH desde 2004

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Norcoreanos se infiltran en empresas con falsos trabajadores de TI para evadir sanciones


Corea del Norte ha estado llevando a cabo una de las operaciones de fraude cibernético más discretamente efectivas en los últimos años. Operativos patrocinados por el Estado y vinculados al régimen de Pyongyang se han hecho pasar por trabajadores remotos legítimos de TI para ser contratados por empresas de todo el mundo, obteniendo salarios que fluyen directamente para financiar los programas de armas del país. 






Corea del Norte ha estado llevando a cabo una de las operaciones de fraude cibernético más discretamente efectivas de los últimos años.

Operativos patrocinados por el Estado y vinculados al régimen de Pyongyang se han hecho pasar por trabajadores remotos legítimos de TI para ser contratados por empresas de todo el mundo, obteniendo salarios que fluyen directamente para financiar los programas de armas del país.

Este esquema, activo desde al menos 2017, se ha convertido en una operación multinacional que sigue expandiéndose hacia nuevas industrias y atacando a organizaciones más grandes.

Los operativos utilizan identidades robadas, currículums falsificados y credenciales profesionales fraudulentas para conseguir empleos remotos en desarrollo de software en empresas extranjeras, especialmente en Estados Unidos y Europa.

Durante las entrevistas de trabajo, los trabajadores norcoreanos suelen desviar las conversaciones de videollamadas a formatos telefónicos o basados en texto, alegando problemas técnicos, mientras un cómplice aparece en cámara.

Los salarios, que pueden alcanzar hasta $300,000 al año por operativo, son canalizados de vuelta a Corea del Norte, donde el régimen retiene hasta el 90% de las ganancias para apoyar sus programas de misiles y armas de destrucción masiva.

Analistas de Team Cymru identificaron una pieza crítica de esta infraestructura después de que el investigador de seguridad en criptomonedas ZachXBT señalara el dominio luckyguys[.]site como vinculado a pagos asociados con trabajadores falsos de TI conectados a la RPDC.

En el momento del análisis, ese dominio resolvía a la dirección IP 163.245.219[.]19. Los investigadores examinaron luego 30 días de actividad de red vinculada a esta infraestructura y descubrieron un panorama más amplio de cómo operan estos trabajadores, se comunican y mueven dinero sin activar alarmas en los equipos de seguridad.

La investigación reveló que estos trabajadores dependen de redes privadas virtuales (VPN) específicas para ocultar sus ubicaciones reales. El análisis de tráfico mostró un uso intensivo de Astrill VPN (37.5%), Mullvad (32.25%) y Proton VPN (6.25%).

Estos servicios permiten a los operativos redirigir su tráfico a través de nodos de salida en Estados Unidos, haciéndolos parecer empleados domésticos comunes.

La actividad de red también mostró conexiones a Gmail, ChatGPT y Workana, una plataforma freelance que se ha convertido en un canal notable a través del cual los actores de amenazas buscan empleos remotos bajo identidades falsas.

A medida que la presión de las fuerzas del orden ha aumentado en Estados Unidos, estas operaciones se han vuelto más agresivas. Desde finales de 2024, los trabajadores de TI norcoreanos han intensificado los intentos de extorsión, robando datos sensibles y código fuente de sus empleadores antes de exigir pagos de rescate.

La Oficina de Control de Activos Extranjeros del Departamento del Tesoro de EE.UU. sancionó a seis individuos y dos entidades en marzo de 2026 por su participación directa en estos esquemas. Esta operación también es rastreada bajo los nombres Coral Sleet, PurpleDelta y Wagemole por diversos equipos de inteligencia de amenazas.

Abuso de VPN y engaño con IPs residenciales

Uno de los aspectos técnicamente más significativos de este esquema es cómo los operativos ocultan su presencia en la red.

El análisis de Team Cymru encontró que direcciones IP residenciales de Estados Unidos y Letonia se comunicaban con la infraestructura identificada durante el período de revisión.

Esto apunta fuertemente al uso de sistemas basados en hogares o granjas de portátiles, donde equipos físicos proporcionados por los empleadores son colocados en residencias gestionadas por facilitadores en EE.UU.

La rápida caída del tráfico de red tras la divulgación pública del dominio luckyguys[.]site confirmó que los operadores estaban monitoreando su exposición y abandonaron la infraestructura rápidamente una vez atribuida públicamente.

Caída del tráfico de red tras la divulgación (Fuente - Team Cymru)
Caída del tráfico de red tras la divulgación (Fuente – Team Cymru)

Este comportamiento refleja un patrón bien documentado de la RPDC de ciclar rápidamente la infraestructura después de ser identificada.

Las organizaciones deberían considerar las siguientes recomendaciones basadas en estos hallazgos. Las direcciones IP residenciales no deben tratarse como automáticamente confiables, ya que podrían formar parte de redes proxy o de lavado de tráfico.

El uso de VPN de proveedores previamente vinculados a actividades de la RPDC debe considerarse como una señal de riesgo. Los procesos de contratación freelance, especialmente a través de plataformas globales, representan un vector clave de infiltración y requieren una mayor supervisión durante la incorporación.

El tráfico de red que se conecta a las direcciones IP 216.158.225[.]144 y 163.245.219[.]19 debe ser marcado e investigado. Se debe aplicar especial precaución con las IPs residenciales que exhiban comportamiento de proxy, ya que podrían soportar infraestructura utilizada en operaciones maliciosas.


Fuentes:
https://cybersecuritynews.com/north-korean-hackers-use-fake-it-worker-scheme/


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.