El Departamento de Justicia de los Estados Unidos (DOJ) anunció el lunes acciones radicales dirigidas al esquema de trabajadores de la Tecnología de la Información de Corea del Norte (TI), lo que lleva al arresto de un individuo y la incautación de 29 cuentas financieras, 21 sitios web fraudulentos y casi 200 computadoras.
La acción coordinada vio búsquedas de 21 «granjas portátiles» conocidas o sospechosas entre el 10 y el 17 de junio de 2025, en 14 estados en los EE. UU. Que fueron utilizados por los trabajadores de TI de Corea del Norte para conectarse de forma remota a las redes de víctimas a través de computadoras portátiles proporcionadas por la compañía.
«Los actores norcoreanos fueron asistidos por individuos en los Estados Unidos, China, Emiratos Árabes Unidos y Taiwán, y obtuvieron empleo con éxito con más de 100 compañías estadounidenses», dijo el Departamento de Justicia.
El esquema de trabajadores de TI de Corea del Norte se ha convertido en uno de los engranajes cruciales en la máquina de generación de ingresos de la República Popular Democrática de Corea del Norte (DPRK) de una manera que evita las sanciones internacionales. La operación fraudulenta, descrita por la compañía de seguridad cibernética DTEX como un sindicato de delincuencia patrocinado por el estado, involucra a los actores norcoreanos que obtienen empleo con empresas estadounidenses como trabajadores de TI remotos, utilizando una combinación de identidades robadas y ficticias.
Una vez que consiguen un trabajo, los trabajadores de TI reciben pagos salariales regulares y obtienen acceso a la información patentada del empleador, incluida la tecnología militar estadounidense controlada por exportaciones y la moneda virtual. En un incidente, se alega que los trabajadores de TI tenían empleos asegurados en una compañía de investigación y desarrollo de Blockchain con sede en Atlanta y robaron más de $ 900,000 en activos digitales.
Los trabajadores de TI de Corea del Norte son una amenaza grave porque no solo generan ingresos ilegales para el reino ermitaño a través del trabajo «legítimo», sino que también arman su acceso interno para cosechar datos confidenciales, robar fondos e incluso extorsionar a sus empleadores a cambio de no revelar públicamente sus datos.
«Estos esquemas se dirigen y roban a las compañías estadounidenses y están diseñados para evadir las sanciones y financiar los programas ilícitos del régimen de Corea del Norte, incluidos sus programas de armas», dijo el fiscal general asistente John A. Eisenberg de la División de Seguridad Nacional del Departamento.
El mes pasado, el Departamento de Justicia dijo que había presentado una queja de decomiso civil en el Tribunal de Distrito de los Estados Unidos para el Distrito de Columbia que se dirigió a más de $ 7.74 millones en criptomonedas, tokens no fungibles (NFT) y otros activos digitales vinculados al esquema global de trabajadores de TI.
«Corea del Norte sigue siendo la intención de financiar sus programas de armas al defraudar a las empresas estadounidenses y explotar a las víctimas estadounidenses de robo de identidad», dijo el director asistente Roman Rozhavsky de la División de Contrainteligencia del FBI. «Los trabajadores de TI de Corea del Norte que se hacían pasar por ciudadanos estadounidenses obtuvieron un empleo fraudulentamente con empresas estadounidenses para poder canalizar cientos de millones de dólares al régimen autoritario de Corea del Norte».
El jefe de las acciones anunciadas el lunes incluye el arresto de «Danny» Wang de Nueva Jersey de EE. UU., A quien ha sido acusado de perpetrar un esquema de fraude de varios años en colusión con los conspiradores para obtener trabajos remotos de TI con empresas estadounidenses, generando más de $ 5 millones en ingresos.
Otras personas que participaron en el esquema incluyen seis nacionales chinos y dos taiwaneses –
- Jing bin Huang
- Baoyu Zhou (Zhou Baoyu)
- Tong yuze
- Yongzhe Xu (徐勇哲 徐勇哲 y Yonghi Axo)
- Ziyou yuan (زيو)
- Zhenbang Zhou (Zhou Zhenbang)
- Mengting Liu (Liu Mengting) y
- Enchia liu (liu en)
Según la acusación, los acusados y otros co-conspiradores comprometieron las identidades de más de 80 individuos estadounidenses para obtener empleos remotos en más de 100 compañías estadounidenses entre 2021 y octubre de 2024. Se cree que los trabajadores de TI en el extranjero han sido asistidos por facilitadores con sede en los Estados Unidos, Kejia «Tony» Wang, Zhenxing «Danny» Wang y al menos cuatro, con Kejia Wang, a los que viajaron a Kejia en 2023, en el momento de Wang, a los que viajaron a Kejia en el momento de Wang, con Kejia en el momento de Wang, y al menos con Kejia Wang en Kejia. Los conspiradores y trabajadores de TI en el extranjero y discuten el esquema.
Para engañar a las empresas para que piensen que los trabajadores remotos tienen su sede en los Estados Unidos, Wang et al recibieron y organizaron las computadoras portátiles emitidas por la compañía en sus residencias, y permitieron a los actores de amenaza de Corea del Norte conectarse a estos dispositivos utilizando KVM (abreviatura de «keyboard-video-ratón») como PIKVM o TinyPilot.
«Kejia Wang y Zhenxing Wang también crearon compañías Shell con sitios web y cuentas financieras correspondientes, incluidas Hopana Tech LLC, Tony WKJ LLC e Independent Lab LLC, para que pareciera que los trabajadores de TI en el extranjero estaban afiliados a negocios legítimos de los Estados Unidos», dijo el DOJ. «Kejia Wang y Zhenxing Wang establecieron estas y otras cuentas financieras para recibir dinero de compañías víctimas de EE. UU., Gran parte de las cuales se transfirió posteriormente a los coprespiradores extranjeros».
A cambio de proporcionar estos servicios, se estima que Wang y sus conspiradores recibieron no menos de $ 696,000 de los trabajadores de TI.
Por separado, el Distrito Norte de Georgia reveló un fraude electrónico de cinco cargos y acusación de lavado de dinero cobrando a cuatro ciudadanos de Corea del Norte, Kim Kwang Jin (김관진), Kang Tae Bok (강태복), Jong Pong Ju (정봉주) y Chang Nam Il (창남일), con un robo de más de $ 900,000 de la compañía Blockchain ubicada en AtlAster.
Los documentos judiciales alegan que los acusados viajaron a los Emiratos Árabes Unidos en documentos de Corea del Norte en octubre de 2019 y trabajaron juntos como equipo. En algún momento entre diciembre de 2020 y mayo de 2021, Kim Kwang Jin y Jong Pong Ju fueron contratados como desarrolladores por Blockchain Company y una compañía de tokens virtual serbio, respectivamente. Luego, actuando por recomendación de Jong Pong Ju, la compañía serbia contrató a Chang Nam Il.
Después de que Kim Kwang Jin y Jong Pong Ju obtuvieron la confianza de sus empleadores y se les asignó proyectos que les otorgaron acceso a los activos de divisas virtuales de la empresa, los actores de amenaza procedieron a robar los activos en febrero y marzo de 2022, en un caso alterando el código fuente asociado con dos de los contratos inteligentes de la compañía.
Los ingresos robados se lavaron luego utilizando un servicio de mezclador de criptomonedas conocido como Cash Tornado y finalmente se transfirieron a cuentas de cambio de moneda virtual controladas por Kang Tae Bok y Chang Nam Il. Estas cuentas, dijo el Departamento de Justicia, se abrieron utilizando documentos fraudulentos de identificación de Malasia.
«Estos arrestos son un poderoso recordatorio de que las amenazas planteadas por los trabajadores de TI de la RPDC se extienden más allá de la generación de ingresos,» Michael «Barni» Barnhart, investigador de riesgos Insider de I3 en DTEX, a The Hacker News en un comunicado. «Una vez dentro, pueden realizar actividades maliciosas desde las redes confiables, lo que representa graves riesgos para la seguridad nacional y las empresas de todo el mundo».
«Las acciones del gobierno de los EE. UU. (…) son absolutamente de primera categoría y un paso crítico para interrumpir esta amenaza. Los actores de la DPRK están utilizando cada vez más a las compañías frontales y a terceros confiables para pasar más allá de las salvaguardas de contratación tradicionales, incluidas las instancias observadas de aquellos en sectores sensibles como el gobierno y la base industrial de defensa. Las organizaciones deben mirar más allá de sus portales solicitantes y la confianza de la fideicomiso de la fideicomiso total de la amenaza porque la amenaza es la amenaza que es la amenaza que es la amenaza que es la amenaza que es la amenaza.
Microsoft suspende 3.000 cuentas de correo electrónico vinculadas a los trabajadores de TI
Microsoft, que ha estado rastreando la amenaza de trabajadores de TI bajo el apodo Jasper Sleet (anteriormente Storm-0287) desde 2020, dijo que ha suspendido 3.000 cuentas conocidas de Outlook/Hotmail creadas por los actores de amenaza como parte de sus esfuerzos más amplios para interrumpir las operaciones cibernéticas de Corea del Norte. El grupo de actividades también se rastrea como Tapestry de níquel, Wagemole y UNC5267.
El esquema de fraude de los trabajadores comienza con la creación de identidades de tal manera que coincidan con la geolocalización de sus organizaciones objetivo, después de lo cual se desarrollan digitalmente a través de los perfiles de redes sociales y las carteras fabricadas en plataformas orientadas a los desarrolladores como Github para dar a las personas un chapa de legitimidad.
El gigante tecnológico llamó a las herramientas de explotación de inteligencia artificial (IA) de los trabajadores de TI para mejorar las imágenes y cambiar las voces para aumentar la credibilidad de sus perfiles de trabajo y parecer más auténticos para los empleadores. También se ha encontrado que los trabajadores de TI establecen perfiles falsos en LinkedIn para comunicarse con los reclutadores y solicitar empleos.
«Estos trabajadores altamente calificados se encuentran con mayor frecuencia en Corea del Norte, China y Rusia, y usan herramientas como redes privadas virtuales (VPN) y herramientas de monitoreo y gestión remota (RMM) junto con cómplices ingenios para ocultar sus ubicaciones e identidades», dijo el equipo de inteligencia de amenazas de Microsoft.
Otra táctica notable adoptada por Jasper Sleet gira en torno a publicar anuncios de trabajo del facilitador bajo la apariencia de asociaciones de trabajo remotos para ayudar a los trabajadores de TI a asegurar el empleo, aprobar los controles de identidad y trabajar de forma remota. A medida que crece la relación con los facilitadores, también pueden tener la tarea de crear una cuenta bancaria para los trabajadores de TI o comprar números de teléfono móvil o tarjetas SIM.
Además, los cómplices ingenios son responsables de validar las identidades falsas de los trabajadores de TI durante el proceso de verificación de empleo utilizando proveedores de servicios de verificación de antecedentes en línea. Los documentos enviados incluyen licencias de conducir falsas o robadas, tarjetas de seguro social, pasaportes y tarjetas de identificación de residentes permanentes.
Como una forma de contrarrestar la amenaza, Microsoft dijo que ha desarrollado una solución de aprendizaje automático personalizado impulsada por la inteligencia de amenaza patentada que puede producir cuentas sospechosas que exhiben comportamientos que se alinean con la Tradecraft de la RPDC conocida para las acciones de seguimiento.
«El esquema de trabajadores remotos fraudulentos de Corea del Norte ha evolucionado desde entonces, estableciéndose como una operación bien desarrollada que ha permitido a los trabajadores remotos de Corea del Norte infiltrarse en roles relacionados con la tecnología en varias industrias», dijo Redmond. «En algunos casos, las organizaciones víctimas incluso informaron que los trabajadores de TI remotos eran algunos de sus empleados más talentosos».