Una investigación conjunta dirigida por Mauro Eldritch, fundador de BCA LTDrealizado inmediato con la iniciativa de inteligencia sobre amenazas Exploración Meta y CUALQUIER EJECUCIÓN, una posibilidad para disección interactivo de malware e inteligencia sobre amenazas, ha descubierto uno de los esquemas de infiltración más persistentes de Corea del Meta: una red de trabajadores de TI remotos vinculados a la famosa división Chollima del Categoría Lazarus.
Por primera vez, los investigadores pudieron observar trabajar a los operadores. morarcapturando su actividad en lo que creían que eran portátiles de desarrolladores reales. Las máquinas, sin secuestro, eran entornos sandbox de larga duración y totalmente controlados creados por ANY.RUN.
La configuración: reclutarlos y luego dejarlos entrar
 |
| Captura de pantalla de un mensaje de un reclutador que ofrece una oportunidad de trabajo falsa |
La operación comenzó cuando el NorthScan Heiner García se hizo sobrevenir por un desarrollador estadounidense objetivo de un reclutador de Lazarus utilizando el sobrenombre “Aaron” (incluso conocido como “Blaze”).
Haciéndose sobrevenir por un “negocio” de colocación gremial, Blaze intentó contratar al desarrollador apócrifo como líder; una conocida táctica de Chollima utilizada para introducir trabajadores de TI norcoreanos en empresas occidentales, principalmente en el finanzas, criptografía, atención médica e ingeniería sectores.
 |
| El proceso de las entrevistas. |
El plan siguió un patrón frecuente:
- robar o tomar prestada una identidad,
- sobrevenir entrevistas con herramientas de inteligencia fabricado y respuestas compartidas,
- trabajar de forma remota a través del ordenador portátil de la víctima,
- canalizar el salario de envés a la RPDC.
Una vez que Blaze solicitó ataque completo, incluido SSN, ID, LinkedIn, Gmail y disponibilidad de computadora portátil las 24 horas, los 7 días de la semana, el equipo pasó a la escalón dos.
La trampa: una “estancia de portátiles” que no era efectivo
 |
| Un entorno potencial seguro proporcionado por Interactive Sandbox de ANY.RUN |
En puesto de utilizar una computadora portátil efectivo, Mauro Eldritch de BCA LTD implementó las máquinas virtuales de ANY.RUN Sandbox, cada una configurada para parecerse a una etapa de trabajo personal completamente activa con historial de uso, herramientas de explicación y enrutamiento de proxy residencial en EE. UU.
El equipo incluso podría forzar choques, acelerar la conectividad y capturar instantáneas de cada movimiento sin alertar a los operadores.
Lo que encontraron en el interior de la caja de herramientas del distinguido Chollima
Las sesiones de entorno de pruebas expusieron un conjunto de herramientas sencillo pero eficaz creado para la adquisición de identidades y el ataque remoto en puesto de la implementación de malware. Una vez sincronizado su perfil de Chrome, los operadores cargaron:
- Herramientas de automatización del trabajo impulsadas por IA (Simplify Copilot, AiApply, Final Round AI) para completar automáticamente solicitudes y suscitar respuestas a entrevistas.
- Generadores de OTP basados en navegador (OTP.ee / Authenticator.cc) para manejar la 2FA de las víctimas una vez que se recopilaron los documentos de identidad.
- Escritorio remoto de Googleconfigurado a través de PowerShell con un PIN fijo, que proporciona un control persistente del host.
- Rutina examen del sistema (dxdiag, systeminfo, whoami) para validar el hardware y el entorno.
- Conexiones enrutadas consistentemente a través de Astrill VPNun patrón vinculado a la infraestructura preliminar de Lazarus.
En una sesión, el cámara incluso dejó un mensaje en el Bloc de notas pidiendo al “desarrollador” que cargara su ID, SSN y datos bancarios, confirmando el objetivo de la operación: identidad completa y toma de control de la etapa de trabajo sin implementar una sola aposento de malware.
Una advertencia para empresas y equipos de contratación
La contratación remota se ha convertido en un punto de entrada silencioso pero confiable para las amenazas basadas en la identidad. Los atacantes suelen entrar a su estructura dirigiéndose a empleados individuales con solicitudes de entrevistas aparentemente legítimas. Una vez en el interior, el aventura va mucho más allá de un solo trabajador comprometido. Un infiltrado puede obtener ataque a paneles internos, datos comerciales confidenciales y cuentas de nivel de administrador que tienen un impacto operante efectivo.
Crear conciencia en el interior de la empresa y dedicar a los equipos un puesto seguro para probar cualquier cosa sospechosa puede ser la diferencia entre detener un enfoque temprano y deliberar con un compromiso interno en toda regla más delante.
