El Departamento de Control de Activos Extranjeros del Tesoro (OFAC) del Departamento de Tesoro (OFAC) sancionó el martes a un miembro de un grupo de piratería norcoreano llamado Andariel por su papel en el infame esquema de trabajadores de tecnología de la información remota (TI).
El Tesoro dijo que la canción Kum Hyok, un nacional de Corea del Norte de 38 años con un discurso en la provincia china de Jilin, permitió a la operación fraudulenta mediante el uso de trabajadores de TI con el extranjero buscar empleo remoto con empresas estadounidenses y planear dividir los ingresos con ellos.
Entre 2022 y 2023, se alega que Song usó las identidades de los Estados Unidos, incluidos sus nombres, direcciones y números de Seguro Social, para elaborar alias para los trabajadores contratados, que luego usaron estas personas para posar como nacionales estadounidenses que buscan trabajos remotos en el país.
El desarrollo se produce días después de que el Departamento de Justicia de los Estados Unidos (DOJ) anunciara acciones radicales dirigidas al esquema de trabajadores de la Tecnología de la Información de Corea del Norte (TI), lo que lleva al arresto de un individuo y la incautación de 29 cuentas financieras, 21 sitios web fraudulentos y casi 200 computadoras.
También se han recaudado sanciones contra un ciudadano ruso y cuatro entidades involucradas en un esquema de trabajadores de TI con sede en Rusia que contrató y acogió a los norcoreanos para lograr la operación maliciosa. Esto incluye –
- Gayk Asatryan, quien utilizó sus empresas con sede en Rusia, Asatryan LLC y Fortuna LLC para emplear trabajadores de TI de Corea del Norte.
- Corea Songkwang Trading General Corporation, que firmó un acuerdo con Asatryan para enviar hasta 30 trabajadores de TI para trabajar en Rusia para Asatryan LLC
- Corea Saenal Trading Corporation, que firmó un acuerdo con Asatryan para enviar hasta 50 trabajadores de TI para trabajar en Rusia para Fortuna LLC
Las sanciones marcan la primera vez que un actor de amenaza vinculado a Andariel, un subgrupo dentro del grupo de Lazarus, ha sido vinculado al esquema de trabajadores de TI, que se ha convertido en un flujo de ingresos ilícitos cruciales para la nación afectada por las sanciones. Se evalúa que el Grupo Lázaro está afiliado a la Oficina General de Reconocimiento de Reconocimiento (RGB) de la República Popular Democrática de Corea (RGB).
La acción «subraya la importancia de la vigilancia en los continuos esfuerzos de la RPDC para financiar clandestinamente sus programas de misiles Ballists y WMD», dijo el Secretario Adjunto del Tesoro Michael Faulkender.
«El Tesoro sigue comprometido con el uso de todas las herramientas disponibles para interrumpir los esfuerzos del régimen de Kim (Jong Un) para eludir las sanciones a través de su robo de activos digitales, intento de suplantación de los estadounidenses y ataques cibernéticos maliciosos»
El esquema de trabajadores de TI, también rastreado como Tapestry de níquel, Wagemole y UNC5267, involucra a los actores de Corea del Norte que usan una combinación de identidades robadas y ficticias para obtener empleo con las empresas estadounidenses como trabajadores de TI remotos con el objetivo de atraer un salario regular que luego se canaliza al régimen a través de transacciones intrigadas de criptocomizas.
La amenaza interna es solo uno de los muchos métodos adoptados por Pyongyang para generar ingresos para el país. Los datos compilados por TRM Labs muestran que Corea del Norte está detrás de aproximadamente $ 1.6 mil millones del total de $ 2.1 mil millones robado como resultado de 75 trucos y hazañas de criptomonedas solo en la primera mitad de 2025, principalmente impulsados por el éxito de taquilla de Bybit a principios de este año.
La mayoría de los pasos tomados para contrarrestar la amenaza han venido aparentemente de las autoridades estadounidenses, pero Michael «Barni» Barnhart, investigador de riesgos Insider I3 en DTEX, dijo a The Hacker News que otros países también están intensificando y tomando acciones similares e impulsando la conciencia a un público más amplio.
«Este es un problema complejo y transnacional con muchas partes móviles, por lo que la colaboración internacional y la comunicación abierta son extremadamente útiles», dijo Barnhart.
«Para un ejemplo de algunas de las complejidades con este problema, un trabajador de TI de Corea del Norte puede ubicarse físicamente en China, empleado por una compañía principal que se hace pasar por una empresa con sede en Singapur, contratada a un proveedor europeo que brinda servicios a los clientes en los Estados Unidos. Ese nivel de capas operativas destaca cuán importantes investigaciones conjuntas y el intercambio de inteligencia están en el intercambio de inteligencia están en contrarrestar esta actividad».
«La buena noticia es que la conciencia ha crecido significativamente en los últimos años, y ahora estamos viendo los frutos de ese trabajo. Estos pasos de conciencia iniciales son parte de un cambio global más amplio hacia el reconocimiento e interrumpir activamente estas amenazas».
Las noticias de las sanciones encogen los informes de que el grupo alineado por Corea del Norte rastreó como Kimsuky (también conocido como APT-C-55) está utilizando una puerta trasera llamada Happydoor en ataques dirigidos a entidades surcoreanas. Happydoor, según Ahnlab, se ha utilizado desde 2021.
Típicamente distribuido a través de ataques por correo electrónico de phishing, el malware ha sido testigo de mejoras constantes a lo largo de los años, lo que le permite cosechar información confidencial; Ejecutar comandos, código PowerShell y scripts por lotes; y cargar archivos de interés.
«Principalmente asumiendo el disfraz de un profesor o una institución académica, el actor de amenaza ha estado utilizando técnicas de ingeniería social como Spear-Phishing para distribuir correos electrónicos con archivos adjuntos que, una vez ejecutados, instalan una puerta trasera y también pueden instalar malware adicional», señaló Ahnlab.