El Unidad de Imparcialidad de los Estados Unidos (DOJ) dijo que ha presentado una queja de incautación civil en un tribunal federal que se dirige a más de $ 7.74 millones en criptomonedas, tokens no fungibles (NFT) y otros activos digitales presuntamente vinculados a un esquema integral de trabajadores de TI orquestados por Corea del Meta.
“Durante abriles, Corea del Meta ha explotado los ecosistemas de contratación de TI y criptomonedas globales para sortear las sanciones de los Estados Unidos y financiar sus programas de armas”, dijo Sue J. Bai, patrón de la División de Seguridad Doméstico del Unidad de Imparcialidad.
El Unidad de Imparcialidad dijo que los fondos se restringieron originalmente en relación con una reproche de abril de 2023 contra Sim Hyon-Sop, un representante del Porción de Comercio Foráneo de Corea del Meta (FTB) que se cree que conspiró con los trabajadores de TI.
Los trabajadores de TI, agregó el sección, obtuvieron empleo en las compañías de criptomonedas estadounidenses que usan identidades falsas y luego lavaron sus ganancias obtenidas a través de SIM a los objetivos estratégicos de Pyongyang en violación de las sanciones impuestas por la Oficina de Control de Activos Extranjeros de los Estados Unidos (OFAC) y las Naciones Unidas.
El esquema fraudulento se ha convertido en una operación masiva desde sus orígenes en 2017. La operación ilegal de empleo aprovecha una combinación de identidades robadas y ficticias, ayudadas con la ayuda de herramientas de inteligencia sintético (IA) como OpenAI Chatgpt, para evitar los controles de diligencia debida y los empleos seguros de Freelance.
Seguimiento de los apodos Wagmole y UNC5267, se evalúa la actividad que está afiliada al Partido de los Trabajadores de Corea y se considera una logística metódicamente diseñada para empotrar a los trabajadores de IT en el interior de las compañías legítimas para originar una fuente constante de ingresos para Corea del Meta.
Por otra parte de tergiversar identidades y ubicaciones, un aspecto central de la operación implica enganchar facilitadores para ejecutar granjas portátiles en todo el mundo, permitir etapas de entrevistas de video, así como asear las ganancias a través de varias cuentas.
Uno de esos facilitadores de la hacienda de computadoras portátiles fue Christina Marie Chapman, quien se declaró culpable a principios de febrero por su billete en el esquema de regeneración de ingresos ilícitos. En un documentación publicado el mes pasado, el Wall Street Journal reveló cómo un mensaje de LinkedIn en marzo de 2020 Drew Chapman, una ex camarera y terapeuta de amasamiento con más de 100,000 seguidores en Tiktok, en la intrincada estafa. Está programada para ser sentenciada el 16 de julio.
“Luego de asear estos fondos, los trabajadores de TI de Corea del Meta supuestamente los enviaron de regreso al gobierno de Corea del Meta, a veces a través de Sim y Kim Sang Man”, dijo el Unidad de Imparcialidad. “Kim es un ciudadano norcoreano que es el director ejecutor de ‘Chinyong’, incluso conocido como ‘Compañía de cooperación de IT Jinyong'”.
Un investigación de la billetera de criptomonedas de Sim por TRM Labs ha revelado que ha recibido más de $ 24 millones en criptomonedas desde agosto de 2021 hasta marzo de 2023.
 |
| Evaluación organizacional de Corea del Meta |
“La mayoría de estos fondos se remontan a las cuentas de Kim, que se abrieron utilizando documentos de identidad rusos falsificados y se accede desde dispositivos en idioma coreano que operan desde los EAU y Rusia”, dijo TRM Labs. “Sim, un funcionario norcoreano, operaba desde Dubai y mantuvo una billetera autohospedada que recibió fondos lavados de docenas de fuentes”.
Kim, de su cojín en Vladivostok, Rusia, actuó como intermediario entre los trabajadores de TI y FTB, utilizando dos cuentas para compilar fondos de ellos y redistribuir los ingresos a SIM y otras billeteras conectadas a Corea del Meta.
La compañía de ciberseguridad DTEX ha caracterizado la amenaza de los trabajadores de TI como un sindicato de delincuencia patrocinado por el estado que está orientado principalmente a la distracción de sanciones y generando ganancias, con la amenaza que los actores cambian gradualmente de las granjas de las computadoras portátiles a usar sus propias máquinas como parte de las políticas de traer su propio dispositivo (BYOD) de las empresas.
“La oportunidad es en realidad su única táctica y todo se tráfico como una aparejo de algún tipo”, dijo Michael Barnhart, investigador de riesgos I3 Insider de DTEX I3 en DTEX Systems, a The Hacker News.
“Si el enfoque se centra en las granjas portátiles, lo que ha sido muy bueno para expresar esa palabra, entonces, lógicamente, esta nación oportunista quiere abrumar a donde el camino es mucho más ligera si está afectando las operaciones. Hasta que las granjas de las computadoras portátiles ya no son efectivas en completo, entonces eso aún será una opción, pero el alcaldada de Byod era poco que DTEX había manido en las investigaciones y no se publicitó como lo fueron las granjas”.
DTEX señaló por otra parte que estos trabajadores de TI podrían caer en cualquiera de las dos categorías: Trabajadores de TI de ingresos (R-ITW) o trabajadores de TI maliciosos (M-ITW), cada uno de los cuales tiene su propia función en el interior de la estructura cibernética de Corea del Meta.
Si acertadamente se dice que el personal de R-ITW es menos privilegiado y principalmente motivado para ingresar hacienda para el régimen, los actores de M-ITW van más allá de la reproducción de ingresos extorsionando a un cliente de víctima, saboteando un servidor de criptomonedas, robando una valiosa propiedad intelectual o ejecutando código taimado en un entorno.
Chinyong, según la empresa de administración de riesgos internos, es una de las muchas compañías de TI que ha implementado a sus trabajadores en una combinación de trabajo independiente de TI y robo de criptomonedas al disfrutar su llegada interno a proyectos de blockchain. Opera desde China, Laos y Rusia.
Dos personas asociadas con los esfuerzos de trabajadores de TI relacionados con Chinyong han sido desenmascarados por acontecer usado a las personas Naoki Murano y Jenson Collins para cobrar fondos para Corea del Meta, con Murano previamente vinculado a un atraco de $ 6 millones en la firma criptogrima Deltaprime en septiembre de 2024.
“En última instancia, la detección de granjas portátiles unidas a la RPDC y esquemas de trabajadores remotos requiere que los defensores miren más allá de los indicadores tradicionales de compromiso y comiencen a hacer diferentes preguntas, sobre la infraestructura, el comportamiento y el llegada”, dijo el investigador de seguridad Matt Ryan. “Estas campañas no se tratan solo de malware o phishing; se tratan de simulación a escalera, a menudo ejecutadas de guisa que se mezclan sin problemas con el trabajo remoto probado”.
Una decano investigación sobre el extenso fraude multimillonario ha descubierto varias cuentas vinculadas a dominios falsos establecidos para las diversas compañías delanteras utilizadas para proporcionar referencias falsas a los trabajadores de TI. Estas cuentas se infectaron con malware de robo de información, señaló Flashpoint, lo que le permite marcar algunos aspectos de su artesanía.
La compañía dijo que identificó un huésped comprometido sito en Lahore, Pakistán, que contenía una credencial guardada para una cuenta de correo electrónico que se utilizó como punto de contacto al registrar los dominios asociados con la información de la caja de bebés, Helix US y Cubix Tech US.
Por otra parte de eso, el historial del navegador capturado por el malware del robador en otro caso ha capturado las URL de traductor de Google relacionadas con docenas de traducciones entre inglés y coreano, incluidos los relacionados con el proporcionar referencias de trabajo falsificadas y los dispositivos electrónicos de remisión.
Eso no es todo. Investigaciones recientes incluso han puesto al descubierto un “sistema encubierto de control remoto de múltiples capas” utilizado por los trabajadores de TI de Corea del Meta para establecer un llegada persistente a las computadoras portátiles emitidas por la compañía en una hacienda de computadoras portátiles mientras se ubican físicamente en Asia.
“La operación aprovechó una combinación de señalización de protocolo de bajo nivel y herramientas de colaboración legítimas para suministrar el llegada remoto y habilitar la visibilidad y el control de los datos utilizando el teleobjetivo”, dijo Sygnia en un documentación publicado en abril de 2025. “La dependencia de ataque (…) involucró el alcaldada de los paquetes ARP para activar acciones basadas en eventos basados en WebSocket (C2).
“Para mejorar aún más el sigilo y la automatización, se requirieron configuraciones específicas del cliente de teleobjetivo. Las configuraciones se ajustaron meticulosamente para evitar que los indicadores orientados al usufructuario y las perturbaciones audiovisuales. Los usuarios se registraron persistentemente, el video y el audio se silenciaron automáticamente al unirse, los nombres de los participantes se ocultaron, compartiendo la pantalla iniciadas sin indicadores visibles y Windows previamente sin colecta”.
Valer complementario a Wagemole es otra campaña denominada entrevista contagiosa (incluso conocida como DeceptedEgranment, famosa Chollima, Gwisin Gang, Tenacious Pungsan, UNC5342 y Void Dokkaebi) que realiza principalmente actividades maliciosas que dirigen a los desarrolladores a obtener la compañía no pasada de llegada como opuesto a obtener el empleo.
“Gwisin Gang Francamente son trabajadores de TI que, en lado de tomar el dilatado proceso de solicitar un trabajo, se dirigen a cualquiera que ya tenía el trabajo”, dijo Barnhart. “Parecen elevados y únicos en el sentido de que tienen un uso de malware que incluso hace eco de esta conocimiento. Sin requisa, los trabajadores de TI son un término universal y hay muchos estilos, variedades y niveles de astucia entre ellos”.
En cuanto a cómo el esquema de trabajadores de TI podría transformarse en los próximos abriles, Barnhart señala al sector financiero tradicional como objetivo.
“Con la implementación de las tecnologías blockchain y Web3 en las instituciones financieras tradicionales, creo que todos los activos cibernéticos de la RPDC en ese espacio tendrán como objetivo que estas empresas estuvieran de la guisa en que sucedió en abriles pasados”, señaló Barnhart. “Cuanto más nos integramos con esas tecnologías, más cuidadoso debemos ser ya que la RPDC está muy arraigada”.
