Los grupos de actividades de amenazas múltiples con lazos con Corea del Norte (también conocido como República Popular Democrática de Corea o RPDC) se han relacionado con ataques dirigidos a organizaciones e individuos en la Web3 y el espacio de criptomonedas.
«El enfoque en Web3 y la criptomoneda parece estar principalmente motivado financieramente debido a las fuertes sanciones que se han impartido a Corea del Norte», dijo Mandiant, propiedad de Google, en su informe M-Trends para 2025 compartido con Hacker News.
«Estas actividades apuntan a generar ganancias financieras, según los informes, financiando el programa de destrucción masiva de Corea del Norte (WMD) y otros activos estratégicos».
La firma de ciberseguridad dijo que los actores de amenaza de DPRK-Nexus han desarrollado herramientas personalizadas escritas en una variedad de idiomas como Golang, C ++ y Rust, y son capaces de infectar los sistemas operativos Windows, Linux y MacOS.
Se ha encontrado que al menos tres actividades de amenaza se rastrea como UNC1069, UNC4899 y UNC5342, se dirigen a miembros de la comunidad de criptomonedas y de desarrollo de blockchain, particularmente centrados en los desarrolladores que trabajan en proyectos adyacentes en Web3 para obtener acceso ilícito a billeteras de criptocurrencias y en las organizaciones que los emplean.
Una breve descripción de cada uno de los actores de amenaza está a continuación –
- UNC1069 (Activo desde al menos abril de 2018), que se dirige a diversas industrias para ganancias financieras utilizando estrategas de ingeniería social enviando invitaciones de reuniones falsas y posadas como inversores de compañías acreditadas en telegrama para obtener acceso a los activos digitales y la criptomonedas de las víctimas
- UNC4899 (Activo desde 2022), que es conocido por orquestar campañas con temas de empleo que entregan malware como parte de una supuesta asignación de codificación y previamente ha organizado compromisos de la cadena de suministro para la ganancia financiera (superposiciones con Jade Sleet, Pukchong, Pisciss, Tradertor y un UNC4899)
- UNC5342 (Activo desde enero de 2024), que también es conocido por emplear señuelos relacionados con el trabajo para engañar a los desarrolladores en la ejecución de proyectos con malware (superposiciones con entrevista contagiosa, desarrollo engañoso, desarrollo#Popper y famosa Chollima)
Otro actor de mención de la amenaza de Corea del Norte es UNC4736, que ha señalado la industria de blockchain al troyanizar las aplicaciones de software de comercio y se ha atribuido a un ataque de cadena de suministro en cascada en 3CX a principios de 2023.
Mandiant dijo que también identificó un grupo separado de actividad de Corea del Norte rastreado como UNC3782 que lleva a cabo campañas de phishing a gran escala dirigida al sector de criptomonedas.
«En 2023, UNC3782 realizó operaciones de phishing contra usuarios de Tron y transfirió más de $ 137 millones de activos en un solo día», señaló la compañía. «UNC3782 lanzó una campaña en 2024 para atacar a los usuarios de Solana y dirigirlos a páginas que contenían drenadores de criptomonedas».
El robo de criptomonedas es uno de los varios medios que la RPDC ha seguido para evitar las sanciones internacionales. Al menos desde 2022, un clúster de amenaza activa denominado UNC5267 ha enviado a miles de sus ciudadanos para asegurar empleos de empleo remoto en empresas en los Estados Unidos, Europa y Asia, mientras que residen principalmente en China y Rusia.
Se dice que una gran parte de los trabajadores de TI están afiliados a la Oficina General 313 del Departamento de la Industria de Municiones, que es responsable del programa nuclear en Corea del Norte.
Los trabajadores de TI de Corea del Norte, además de hacer uso de identidades robadas, han utilizado personas completamente fabricadas para apoyar sus actividades. Esto también se complementa con el uso de la tecnología Deepfake en tiempo real para crear identidades sintéticas convincentes durante las entrevistas de trabajo.
«Esto ofrece dos ventajas operativas clave. Primero, permite que un solo operador entrevista para la misma posición varias veces usando diferentes personajes sintéticos», dijo el investigador de Palo Alto Networks, Evan Gordenker.
«En segundo lugar, ayuda a los agentes a evitar ser identificados y agregados a los boletines de seguridad y los avisos querían. Combinado, ayuda a los trabajadores de TI de DPRK a disfrutar de una mayor seguridad operativa y una disminución de la detectabilidad».
El esquema de trabajadores de TI de la RPDC, que lleva amenazas internas a un nivel completamente nuevo, está diseñado para canalizar sus salarios a Pyongyang para avanzar en sus objetivos estratégicos, mantener el acceso a largo plazo a las redes de víctimas e incluso extorsionar a sus empleadores.
«También han intensificado campañas de extorsión contra los empleadores, y se han movido para realizar operaciones en escritorios, redes y servidores virtuales corporativos», dijeron Jamie Collier y Michael Barnhart de Google Threat Intelligence Group (GTIG) en un informe el mes pasado.
«Ahora usan su acceso privilegiado a robar datos y habilitan ataques cibernéticos, además de generar ingresos para Corea del Norte».
En 2024, Mandiant dijo que identificó a un sospechoso trabajador de TI de la RPDC que usa al menos 12 personas mientras busca empleo en los Estados Unidos y Europa, destacando la efectividad de recurrir a tales métodos no convencionales para infiltrarse en organizaciones bajo falsas pretensiones.
«En al menos un caso, se consideraron dos identidades falsas para un trabajo en una empresa estadounidense, con un trabajador de TI de la RPDRK ganando sobre el otro», señaló la firma de inteligencia de amenazas. En otro caso, «cuatro presuntos trabajadores de TI de RPDC habían sido empleados dentro de un período de 12 meses en una sola organización».