Los trabajadores de tecnología de la información (TI) asociados con la República Popular Democrática de Corea (RPDC) ahora están solicitando puestos remotos utilizando cuentas reales de LinkedIn de personas a las que se hacen suceder, lo que marca una nueva subida del esquema fraudulento.
“Estos perfiles a menudo tienen correos electrónicos verificados en el circunscripción de trabajo y credenciales de identidad, que los agentes de la RPDC esperan que hagan que sus aplicaciones fraudulentas parezcan legítimas”, dijo Security Alliance (SEAL) en una serie de publicaciones en X.
La amenaza de los trabajadores de TI es una operación de larga duración montada por Corea del Ideal en la que agentes del país se hacen suceder por trabajadores remotos para consolidar empleos en empresas occidentales y en otros lugares bajo identidades robadas o fabricadas. La amenaza además es rastreada por la comunidad de ciberseguridad en normal, como Jasper Sleet, PurpleDelta y Wagemole.
El objetivo final de estos esfuerzos tiene dos frentes: producir un flujo constante de ingresos para financiar los programas de armas de la nación, realizar espionaje robando datos confidenciales y, en algunos casos, ir más allá exigiendo rescates para evitar la filtración de información.
El mes pasado, la empresa de ciberseguridad Silent Push describió el software de trabajadores remotos de la RPDC como un “motor de ingresos de gran grosor” para el régimen, que permite a los actores de amenazas obtener además ataque funcionario a bases de código sensibles y establecer una persistencia de subsistencia interiormente de la infraestructura corporativa.
“Una vez pagados sus salarios, los trabajadores de TI de la RPDC transfieren criptomonedas a través de una variedad de diferentes técnicas de lavado de metálico”, señaló la firma de exploración blockchain Chainalysis en un crónica publicado en octubre de 2025.
“Una de las formas en que los trabajadores de TI, así como sus homólogos de lavado de metálico, rompen el vínculo entre el origen y el destino de los fondos en la esclavitud, es mediante saltos de esclavitud y/o intercambio de tokens. Aprovechan contratos inteligentes como intercambios descentralizados y protocolos puente para complicar el rastreo de fondos”.
Para contrarrestar la amenaza, se recomienda a las personas que sospechen que sus identidades están siendo usurpadas en solicitudes de empleo fraudulentas que consideren propagar una advertencia en sus cuentas de redes sociales, adyacente con una registro de sus canales de comunicación oficiales y el método de comprobación para contactarlos (por ejemplo, correo electrónico de la empresa).
“Siempre valide que las cuentas enumeradas por los candidatos estén controladas por el correo electrónico que proporcionan”, dijo Security Alliance. “Verificaciones simples como pedirles que se conecten contigo en LinkedIn verificarán su propiedad y control de la cuenta”.
La divulgación se produce cuando el Servicio de Seguridad de la Policía de Noruega (PST) emitió un aviso, afirmando que tiene conocimiento de “varios casos” durante el año pasado en los que empresas noruegas se han conocido afectadas por planes de trabajadores de TI.
“Las empresas han sido engañadas para que contraten probablemente trabajadores informáticos norcoreanos en puestos de oficina en casa”, dijo PST la semana pasada. “Los ingresos salariales que reciben los empleados norcoreanos a través de dichos puestos probablemente se destinen a financiar el software de armas y armas nucleares del país”.
Paralelamente al plan de trabajadores de TI hay otra campaña de ingeniería social denominada Entrevista Contagiosa que implica el uso de flujos de contratación falsos para atraer a posibles objetivos a entrevistas a posteriori de acercarse a ellos en LinkedIn con ofertas de trabajo. La etapa maliciosa del ataque comienza cuando individuos que se presentan como reclutadores y gerentes de contratación instruyen a los objetivos a completar una evaluación de habilidades que eventualmente los lleva a ejecutar código solapado.
En un caso de una campaña de suplantación de personal dirigida a trabajadores tecnológicos utilizando un proceso de contratación similar al de la empresa de infraestructura de activos digitales Fireblocks, se dice que los actores de amenazas pidieron a los candidatos que clonaran un repositorio de GitHub y ejecutaran comandos para instalar un paquete npm para desencadenar la ejecución de malware.
“La campaña además empleó EtherHiding, una técnica novedosa que aprovecha los contratos inteligentes de blockchain para meter y recuperar infraestructura de comando y control, haciendo que la carga útil maliciosa sea más resistente a los derribos”, dijo el investigador de seguridad Ori Hershko. “Estos pasos desencadenaron la ejecución de código solapado oculto interiormente del esquema. La ejecución del proceso de configuración resultó en la descarga y ejecución de malware en el sistema de la víctima, lo que les dio a los atacantes un punto de apoyo en la máquina de la víctima”.
En los últimos meses, se han observado nuevas variantes de la campaña Contagious Interview que utilizan archivos de tareas maliciosos de Microsoft VS Code para ejecutar malware JavaScript disfrazado de fuentes web que, en última instancia, conducen a la implementación de BeaverTail e InvisibleFerret, lo que permite el ataque persistente y el robo de billeteras de criptomonedas y credenciales del navegador, según informes de Abstract Security y OpenSourceMalware.
 |
| Campaña Koalemos RAT |
Se sospecha que otra variación del conjunto de intrusión documentada por Panther implica el uso de paquetes npm maliciosos para implementar un situación modular de troyano de ataque remoto (RAT) de JavaScript denominado Koalemos a través de un cargador. La RAT está diseñada para ingresar a un tirabuzón de baliza para recuperar tareas de un servidor forastero, ejecutarlas, despachar respuestas cifradas y suspender durante un intervalo de tiempo accidental ayer de repetirlas nuevamente.
Admite 12 comandos diferentes para realizar operaciones del sistema de archivos, transferir archivos, ejecutar instrucciones de descubrimiento (por ejemplo, whoami) y ejecutar código injustificado. Los nombres de algunos de los paquetes asociados con la actividad son los siguientes:
- prueba-flujo-de-trabajo-env
- prueba-sra-prueba
- prueba-sra-prueba
- vg-medallia-digital
- cliente vg-ccc
- vg-dev-env
“El cargador original realiza una activación de ejecución basada en DNS y una moral de la época de billete ayer de descargar y producir el módulo RAT como un proceso independiente”, dijo la investigadora de seguridad Alessandra Rizzo. “Koalemos toma las huellas digitales del sistema, establece comunicaciones cifradas de comando y control y proporciona capacidades completas de ataque remoto”.
Labyrinth Chollima se divide en unidades operativas especializadas
El crecimiento se produce cuando CrowdStrike reveló que el prolífico equipo de piratería norcoreano conocido como Labyrinth Chollima ha evolucionado en tres grupos separados con objetivos y oficios distintos: el comunidad central Labyrinth Chollima, Golden Chollima (además conocido como AppleJeus, Citrine Sleet y UNC4736) y Pressure Chollima (además conocido como Jade Sleet, TraderTraitor y UNC4899).
Vale la pena señalar que Labyrinth Chollima, adyacente con Andariel y BlueNoroff, se consideran subgrupos interiormente del Agrupación Lazarus (además conocido como Diamond Sleet y Hidden Cobra), con BlueNoroff dividiéndose en TraderTraitor y CryptoCore (además conocido como Sapphire Sleet), según una evaluación de DTEX.
A pesar de la nueva independencia, estos adversarios continúan compartiendo herramientas e infraestructura, lo que sugiere una coordinación centralizada y asignación de posibles interiormente del trasto cibernético de la RPDC. Golden Chollima se centra en robos consistentes y de pequeño escalera de criptomonedas en regiones económicamente desarrolladas, mientras que Pressure Chollima persigue atracos de stop valía con implantes avanzados para identificar organizaciones con importantes tenencias de activos digitales.
 |
| Nuevos grupos de Corea del Ideal |
Por otro costado, las operaciones de Labyrinth Chollima están motivadas por el ciberespionaje, utilizando herramientas como el rootkit FudModule para obtener el sigilo. Esto posterior además se atribuye a la Operación Dream Job, otra campaña de ingeniería social centrada en el trabajo diseñada para entregar malware para la compilación de inteligencia.
“Los utensilios de infraestructura compartidos y la polinización cruzada de herramientas indican que estas unidades mantienen una estrecha coordinación”, dijo CrowdStrike. “Los tres adversarios emplean técnicas notablemente similares, incluidos compromisos en la esclavitud de suministro, campañas de ingeniería social con temas de posibles humanos, software auténtico troyanizado y paquetes maliciosos de Node.js y Python”.
