La Oficina de Control de Activos Extranjeros (OFAC) del Sección del Riquezas de Estados Unidos ha sancionado a seis personas y dos entidades por su décimo en el plan de trabajadores de tecnología de la información (TI) de la República Popular Democrática de Corea (RPDC) con el objetivo de defraudar a empresas estadounidenses y gestar ingresos ilícitos para que el régimen financie sus programas de armas de destrucción masiva (ADM).
“El régimen norcoreano ataca a las empresas estadounidenses a través de esquemas engañosos llevados a extremo por sus operadores de TI en el extranjero, que utilizan datos confidenciales como armas y extorsionan a las empresas para que realicen pagos sustanciales”, dijo el Secretario del Riquezas, Scott Bessent.
El plan fraudulento, igualmente llamado Coral Sleet/Jasper Sleet, PurpleDelta y Wagemole, se plinto en documentación falsa, identidades robadas y personas inventadas para ayudar a los trabajadores de TI a ocultar sus verdaderos orígenes y conseguir empleos en empresas legítimas en los EE. UU. y otros lugares. Luego, una parte desproporcionada de los salarios se canaliza de regreso a Corea del Finalidad para proporcionar los programas de misiles de la nación, en violación de las sanciones internacionales.
En algunos casos, estos esfuerzos se complementan con la implementación de malware para robar información privada y confidencial, así como con esfuerzos de perturbación exigiendo rescates a cambio de no filtrar públicamente los datos robados.
Las personas y entidades objeto de la última ronda de sanciones de la OFAC se enumeran a continuación:
- Empresa de ampliación tecnológico Amnokganguna empresa de TI que gestiona delegaciones de trabajadores de TI en el extranjero y lleva a extremo otras actividades de adquisiciones ilícitas para obtener y entregar tecnología marcial y comercial a través de sus redes en el extranjero.
- Nguyen Quang Vietdirector ejecutante de una empresa vietnamita Quangvietdnbg International Services Company Limited que facilita los servicios de conversión de moneda para los norcoreanos. Se estima que la compañía convirtió en torno a de 2,5 millones de dólares en criptomonedas entre mediados de 2023 y mediados de 2025.
- Por Phi Khanhun asociado de Kim Se Un, que fue sancionado por Estados Unidos en julio de 2025. Se alega que Do actuó como representante de Kim y permitió que Kim usara su identidad para desobstruir cuentas bancarias y sumergir ganancias de trabajadores de TI.
- Hoang Van Nguyenquien igualmente ayuda a Kim a desobstruir cuentas bancarias y permite transacciones de criptomonedas para Kim.
- Yun Song Gukun ciudadano norcoreano que dirigió un camarilla de trabajadores de TI que realizaban trabajos de TI independientes desde Boten, Laos, desde al menos 2023. Yun ha coordinado varias docenas de transacciones financieras por un valía de más de 70.000 dólares con Hoang Minh Quang relacionados con servicios de TI, y ha trabajado con York Louis Celestino Herrera desarrollar contratos freelance de servicios TI.
El ampliación se produce cuando LevelBlue destacó el uso de Astrill VPN por parte del plan de trabajadores de TI para realizar sus operaciones mientras se encuentran en países como China, oportuno a la capacidad del servicio para evitar el Gran Cortafuegos de China. La idea es canalizar el tráfico a través de los nodos de salida de Estados Unidos, permitiéndoles efectivamente hacerse acaecer por empleados domésticos legítimos.
“Estos actores de amenazas comúnmente operan desde China en emplazamiento de Corea del Finalidad por dos razones: una infraestructura de Internet más confiable y la capacidad de exprimir los servicios VPN para ocultar su serio origen geográfico”, dijo el investigador de seguridad Tue Luu. “Los subgrupos del Peña Lazarus, incluido Contagious Interview, dependen de esta capacidad para ingresar a Internet general sin restricciones, resolver la infraestructura de comando y control y disfrazar su verdadera ubicación”.
La empresa de ciberseguridad igualmente dijo que detectó un intento fallido por parte de Corea del Finalidad de infiltrarse en una ordenamiento respondiendo a un anuncio de búsqueda de ayuda. El trabajador de TI, que fue contratado el 15 de agosto de 2025 como empleado remoto para trabajar con datos de Salesforce, fue despedido 10 días luego luego de mostrar indicadores que mostraban inicios de sesión consistentes desde China.
Un aspecto trascendente del oficio de Jasper Sleet es el uso de inteligencia sintético para permitir la fabricación de identidades, la ingeniería social y la persistencia operativa a espléndido plazo a bajo costo, lo que subraya cómo los servicios impulsados por IA pueden aminorar las barreras técnicas y aumentar las capacidades de los actores de amenazas.
“Jasper Sleet aprovecha la IA a lo espléndido del ciclo de vida del ataque para ser contratado, permanecer contratado y hacer mal uso del golpe a escalera”, dijo Microsoft. “Los actores de amenazas están utilizando la IA para acortar el proceso de agradecimiento que informa el ampliación de personas digitales convincentes adaptadas a roles y mercados laborales específicos”.
Otro componente crucial implica el uso de una aplicación de inteligencia sintético señal Faceswap para insertar los rostros de los trabajadores de TI de Corea del Finalidad en documentos de identidad robados y gestar fotografías pulidas para los currículums. Al hacerlo, estos esfuerzos no solo apuntan a mejorar la precisión de sus campañas, sino igualmente aumentar la credibilidad mediante la elaboración de identidades digitales convincentes.
Adicionalmente, se considera que la amenaza de los trabajadores de TI remotos ha estudioso herramientas de IA agente para crear sitios web corporativos falsos y para gestar, refinar y reimplementar rápidamente componentes de malware, en algunos casos mediante el jailbreak de modelos de lenguajes grandes (LLM).
“Los actores de amenazas, como los trabajadores remotos de TI de Corea del Finalidad, dependen de un golpe confiable a espléndido plazo”, dijo Microsoft. “Oportuno a este hecho, los defensores deberían tratar el empleo fraudulento y el uso indebido del golpe como un círculo de aventura interno, centrándose en detectar el uso indebido de credenciales legítimas, patrones de golpe anormales y una actividad depreciación y lenta sostenida”.
En un referencia detallado publicado por Flare e IBM X-Force que examina las tácticas y técnicas empleadas por los trabajadores de TI, salió a la luz que los actores de amenazas utilizan hojas de tiempo para rastrear las solicitudes de empleo y el progreso del trabajo, IP Messenger (igualmente conocido como IPMsg) para la comunicación interna descentralizada y Google Translate para traducir descripciones de puestos, elaborar aplicaciones e incluso interpretar respuestas de herramientas como ChatGPT.
El esquema de trabajadores de TI se construye sobre una estructura operativa de varios niveles que involucra reclutadores, facilitadores, trabajadores de TI y colaboradores, cada uno de los cuales desempeña un papel desigual:
- Reclutadores, que son responsables de escoger a los posibles trabajadores de TI y fijar las sesiones de entrevistas iniciales para enviarlas a los facilitadores.
- Facilitadores y trabajadores de TI, que tienen la tarea de crear personalidades, obtener empleo independiente o de tiempo completo e incorporar nuevas contrataciones.
- Colaboradores, que son reclutados para donar su identidad personal y/o información para ayudar a los trabajadores de TI a completar el proceso de contratación y tomar computadoras portátiles proporcionadas por la empresa.
“Con la ayuda de colaboradores occidentales reclutados, principalmente de LinkedIn y GitHub, quienes, voluntaria o involuntariamente, proporcionan sus identidades para usarlas en el esquema de fraude de trabajadores de TI, NKITW pueden penetrar de guisa más profunda y confiable en una ordenamiento, durante un período de tiempo más espléndido”, dijeron las compañías en un referencia compartido con The Hacker News.
“Las operaciones de los trabajadores de TI de Corea del Finalidad están generalizadas y profundamente integradas interiormente del partido-estado de la RPDC. Es un componente integral de la maquinaria de coexistentes de ingresos y entretenimiento de sanciones de la RPDC”.
