Los trabajadores de tecnología de la información (TI) asociados con la República Popular Democrática de Corea (RPDC) ahora están solicitando puestos remotos utilizando cuentas reales de LinkedIn de personas a las que se hacen pasar, lo que marca una nueva escalada del esquema fraudulento.
«Estos perfiles a menudo tienen correos electrónicos verificados en el lugar de trabajo y credenciales de identidad, que los agentes de la RPDC esperan que hagan que sus aplicaciones fraudulentas parezcan legítimas», dijo Security Alliance (SEAL) en una serie de publicaciones en X.
La amenaza de los trabajadores de TI es una operación de larga duración montada por Corea del Norte en la que agentes del país se hacen pasar por trabajadores remotos para asegurar empleos en empresas occidentales y en otros lugares bajo identidades robadas o fabricadas. La amenaza también es rastreada por la comunidad de ciberseguridad en general, como Jasper Sleet, PurpleDelta y Wagemole.
El objetivo final de estos esfuerzos tiene dos frentes: generar un flujo constante de ingresos para financiar los programas de armas de la nación, realizar espionaje robando datos confidenciales y, en algunos casos, ir más allá exigiendo rescates para evitar la filtración de información.
El mes pasado, la empresa de ciberseguridad Silent Push describió el programa de trabajadores remotos de la RPDC como un «motor de ingresos de gran volumen» para el régimen, que permite a los actores de amenazas obtener también acceso administrativo a bases de código sensibles y establecer una persistencia de subsistencia dentro de la infraestructura corporativa.
«Una vez pagados sus salarios, los trabajadores de TI de la RPDC transfieren criptomonedas a través de una variedad de diferentes técnicas de lavado de dinero», señaló la firma de análisis blockchain Chainalysis en un informe publicado en octubre de 2025.
«Una de las formas en que los trabajadores de TI, así como sus homólogos de lavado de dinero, rompen el vínculo entre el origen y el destino de los fondos en la cadena, es mediante saltos de cadena y/o intercambio de tokens. Aprovechan contratos inteligentes como intercambios descentralizados y protocolos puente para complicar el rastreo de fondos».
Para contrarrestar la amenaza, se recomienda a las personas que sospechen que sus identidades están siendo usurpadas en solicitudes de empleo fraudulentas que consideren publicar una advertencia en sus cuentas de redes sociales, junto con una lista de sus canales de comunicación oficiales y el método de verificación para contactarlos (por ejemplo, correo electrónico de la empresa).
«Siempre valide que las cuentas enumeradas por los candidatos estén controladas por el correo electrónico que proporcionan», dijo Security Alliance. «Verificaciones simples como pedirles que se conecten contigo en LinkedIn verificarán su propiedad y control de la cuenta».
La divulgación se produce cuando el Servicio de Seguridad de la Policía de Noruega (PST) emitió un aviso, afirmando que tiene conocimiento de «varios casos» durante el año pasado en los que empresas noruegas se han visto afectadas por planes de trabajadores de TI.
«Las empresas han sido engañadas para que contraten probablemente trabajadores informáticos norcoreanos en puestos de oficina en casa», dijo PST la semana pasada. «Los ingresos salariales que reciben los empleados norcoreanos a través de dichos puestos probablemente se destinen a financiar el programa de armas y armas nucleares del país».
Paralelamente al plan de trabajadores de TI hay otra campaña de ingeniería social denominada Entrevista Contagiosa que implica el uso de flujos de contratación falsos para atraer a posibles objetivos a entrevistas después de acercarse a ellos en LinkedIn con ofertas de trabajo. La fase maliciosa del ataque comienza cuando individuos que se presentan como reclutadores y gerentes de contratación instruyen a los objetivos a completar una evaluación de habilidades que eventualmente los lleva a ejecutar código malicioso.
En un caso de una campaña de suplantación de personal dirigida a trabajadores tecnológicos utilizando un proceso de contratación similar al de la empresa de infraestructura de activos digitales Fireblocks, se dice que los actores de amenazas pidieron a los candidatos que clonaran un repositorio de GitHub y ejecutaran comandos para instalar un paquete npm para desencadenar la ejecución de malware.
«La campaña también empleó EtherHiding, una técnica novedosa que aprovecha los contratos inteligentes de blockchain para alojar y recuperar infraestructura de comando y control, haciendo que la carga útil maliciosa sea más resistente a los derribos», dijo el investigador de seguridad Ori Hershko. «Estos pasos desencadenaron la ejecución de código malicioso oculto dentro del proyecto. La ejecución del proceso de configuración resultó en la descarga y ejecución de malware en el sistema de la víctima, lo que les dio a los atacantes un punto de apoyo en la máquina de la víctima».
En los últimos meses, se han observado nuevas variantes de la campaña Contagious Interview que utilizan archivos de tareas maliciosos de Microsoft VS Code para ejecutar malware JavaScript disfrazado de fuentes web que, en última instancia, conducen a la implementación de BeaverTail e InvisibleFerret, lo que permite el acceso persistente y el robo de billeteras de criptomonedas y credenciales del navegador, según informes de Abstract Security y OpenSourceMalware.
 |
| Campaña Koalemos RAT |
Se sospecha que otra variante del conjunto de intrusión documentada por Panther implica el uso de paquetes npm maliciosos para implementar un marco modular de troyano de acceso remoto (RAT) de JavaScript denominado Koalemos a través de un cargador. La RAT está diseñada para ingresar a un bucle de baliza para recuperar tareas de un servidor externo, ejecutarlas, enviar respuestas cifradas y suspender durante un intervalo de tiempo aleatorio antes de repetirlas nuevamente.
Admite 12 comandos diferentes para realizar operaciones del sistema de archivos, transferir archivos, ejecutar instrucciones de descubrimiento (por ejemplo, whoami) y ejecutar código arbitrario. Los nombres de algunos de los paquetes asociados con la actividad son los siguientes:
- prueba-flujo-de-trabajo-env
- prueba-sra-prueba
- prueba-sra-prueba
- vg-medallia-digital
- cliente vg-ccc
- vg-dev-env
«El cargador inicial realiza una activación de ejecución basada en DNS y una validación de la fecha de participación antes de descargar y generar el módulo RAT como un proceso independiente», dijo la investigadora de seguridad Alessandra Rizzo. «Koalemos toma las huellas digitales del sistema, establece comunicaciones cifradas de comando y control y proporciona capacidades completas de acceso remoto».
Labyrinth Chollima se divide en unidades operativas especializadas
El desarrollo se produce cuando CrowdStrike reveló que el prolífico equipo de piratería norcoreano conocido como Labyrinth Chollima ha evolucionado en tres grupos separados con objetivos y oficios distintos: el grupo central Labyrinth Chollima, Golden Chollima (también conocido como AppleJeus, Citrine Sleet y UNC4736) y Pressure Chollima (también conocido como Jade Sleet, TraderTraitor y UNC4899).
Vale la pena señalar que Labyrinth Chollima, junto con Andariel y BlueNoroff, se consideran subgrupos dentro del Grupo Lazarus (también conocido como Diamond Sleet y Hidden Cobra), con BlueNoroff dividiéndose en TraderTraitor y CryptoCore (también conocido como Sapphire Sleet), según una evaluación de DTEX.
A pesar de la nueva independencia, estos adversarios continúan compartiendo herramientas e infraestructura, lo que sugiere una coordinación centralizada y asignación de recursos dentro del aparato cibernético de la RPDC. Golden Chollima se centra en robos consistentes y de menor escala de criptomonedas en regiones económicamente desarrolladas, mientras que Pressure Chollima persigue atracos de alto valor con implantes avanzados para identificar organizaciones con importantes tenencias de activos digitales.
 |
| Nuevos grupos de Corea del Norte |
Por otro lado, las operaciones de Labyrinth Chollima están motivadas por el ciberespionaje, utilizando herramientas como el rootkit FudModule para lograr el sigilo. Esto último también se atribuye a la Operación Dream Job, otra campaña de ingeniería social centrada en el trabajo diseñada para entregar malware para la recopilación de inteligencia.
«Los elementos de infraestructura compartidos y la polinización cruzada de herramientas indican que estas unidades mantienen una estrecha coordinación», dijo CrowdStrike. «Los tres adversarios emplean técnicas notablemente similares, incluidos compromisos en la cadena de suministro, campañas de ingeniería social con temas de recursos humanos, software legítimo troyanizado y paquetes maliciosos de Node.js y Python».