Los grupos de actividades de amenazas múltiples con lazos con Corea del Boreal (igualmente conocido como República Popular Democrática de Corea o RPDC) se han relacionado con ataques dirigidos a organizaciones e individuos en la Web3 y el espacio de criptomonedas.
“El enfoque en Web3 y la criptomoneda parece estar principalmente motivado financieramente oportuno a las fuertes sanciones que se han impartido a Corea del Boreal”, dijo Mandiant, propiedad de Google, en su referencia M-Trends para 2025 compartido con Hacker News.
“Estas actividades apuntan a crear ganancias financieras, según los informes, financiando el software de destrucción masiva de Corea del Boreal (WMD) y otros activos estratégicos”.
La firma de ciberseguridad dijo que los actores de amenaza de DPRK-Nexus han desarrollado herramientas personalizadas escritas en una variedad de idiomas como Golang, C ++ y Rust, y son capaces de infectar los sistemas operativos Windows, Linux y MacOS.
Se ha enfrentado que al menos tres actividades de amenaza se rastrea como UNC1069, UNC4899 y UNC5342, se dirigen a miembros de la comunidad de criptomonedas y de explicación de blockchain, particularmente centrados en los desarrolladores que trabajan en proyectos adyacentes en Web3 para obtener comunicación ilícito a billeteras de criptocurrencias y en las organizaciones que los emplean.
Una breve descripción de cada uno de los actores de amenaza está a continuación –
- UNC1069 (Activo desde al menos abril de 2018), que se dirige a diversas industrias para ganancias financieras utilizando estrategas de ingeniería social enviando invitaciones de reuniones falsas y posadas como inversores de compañías acreditadas en telegrama para obtener comunicación a los activos digitales y la criptomonedas de las víctimas
- UNC4899 (Activo desde 2022), que es conocido por orquestar campañas con temas de empleo que entregan malware como parte de una supuesta asignación de codificación y previamente ha organizado compromisos de la esclavitud de suministro para la provecho financiera (superposiciones con Jade Sleet, Pukchong, Pisciss, Tradertor y un UNC4899)
- UNC5342 (Activo desde enero de 2024), que igualmente es conocido por invertir señuelos relacionados con el trabajo para engañar a los desarrolladores en la ejecución de proyectos con malware (superposiciones con entrevista contagiosa, explicación engañoso, explicación#Popper y famosa Chollima)
Otro actor de mención de la amenaza de Corea del Boreal es UNC4736, que ha señalado la industria de blockchain al troyanizar las aplicaciones de software de comercio y se ha atribuido a un ataque de esclavitud de suministro en cascada en 3CX a principios de 2023.
Mandiant dijo que igualmente identificó un comunidad separado de actividad de Corea del Boreal rastreado como UNC3782 que lleva a parte campañas de phishing a gran escalera dirigida al sector de criptomonedas.
“En 2023, UNC3782 realizó operaciones de phishing contra usuarios de Tron y transfirió más de $ 137 millones de activos en un solo día”, señaló la compañía. “UNC3782 lanzó una campaña en 2024 para atacar a los usuarios de Solana y dirigirlos a páginas que contenían drenadores de criptomonedas”.
El robo de criptomonedas es uno de los varios medios que la RPDC ha seguido para evitar las sanciones internacionales. Al menos desde 2022, un clúster de amenaza activa denominado UNC5267 ha enviado a miles de sus ciudadanos para afirmar empleos de empleo remoto en empresas en los Estados Unidos, Europa y Asia, mientras que residen principalmente en China y Rusia.
Se dice que una gran parte de los trabajadores de TI están afiliados a la Oficina Caudillo 313 del Unidad de la Industria de Municiones, que es responsable del software nuclear en Corea del Boreal.
Los trabajadores de TI de Corea del Boreal, adicionalmente de hacer uso de identidades robadas, han utilizado personas completamente fabricadas para apoyar sus actividades. Esto igualmente se complementa con el uso de la tecnología Deepfake en tiempo efectivo para crear identidades sintéticas convincentes durante las entrevistas de trabajo.
“Esto ofrece dos ventajas operativas esencia. Primero, permite que un solo cirujano entrevista para la misma posición varias veces usando diferentes personajes sintéticos”, dijo el investigador de Palo Detención Networks, Evan Gordenker.
“En segundo circunscripción, ayuda a los agentes a evitar ser identificados y agregados a los boletines de seguridad y los avisos querían. Combinado, ayuda a los trabajadores de TI de DPRK a disfrutar de una maduro seguridad operativa y una disminución de la detectabilidad”.
El esquema de trabajadores de TI de la RPDC, que lleva amenazas internas a un nivel completamente nuevo, está diseñado para canalizar sus salarios a Pyongyang para avanzar en sus objetivos estratégicos, abastecer el comunicación a dadivoso plazo a las redes de víctimas e incluso molestar a sus empleadores.
“Todavía han intensificado campañas de trastorno contra los empleadores, y se han movido para realizar operaciones en escritorios, redes y servidores virtuales corporativos”, dijeron Jamie Collier y Michael Barnhart de Google Threat Intelligence Group (GTIG) en un referencia el mes pasado.
“Ahora usan su comunicación privilegiado a robar datos y habilitan ataques cibernéticos, adicionalmente de crear ingresos para Corea del Boreal”.
En 2024, Mandiant dijo que identificó a un sospechoso trabajador de TI de la RPDC que usa al menos 12 personas mientras búsqueda empleo en los Estados Unidos y Europa, destacando la efectividad de apelar a tales métodos no convencionales para infiltrarse en organizaciones bajo falsas pretensiones.
“En al menos un caso, se consideraron dos identidades falsas para un trabajo en una empresa estadounidense, con un trabajador de TI de la RPDRK ganando sobre el otro”, señaló la firma de inteligencia de amenazas. En otro caso, “cuatro presuntos trabajadores de TI de RPDC habían sido empleados internamente de un período de 12 meses en una sola estructura”.
