El Departamento de Justicia de los Estados Unidos (DOJ) dijo que ha presentado una queja de decomiso civil en un tribunal federal que se dirige a más de $ 7.74 millones en criptomonedas, tokens no fungibles (NFT) y otros activos digitales presuntamente vinculados a un esquema global de trabajadores de TI orquestados por Corea del Norte.
«Durante años, Corea del Norte ha explotado los ecosistemas de contratación de TI y criptomonedas globales para evadir las sanciones de los Estados Unidos y financiar sus programas de armas», dijo Sue J. Bai, jefe de la División de Seguridad Nacional del Departamento de Justicia.
El Departamento de Justicia dijo que los fondos se restringieron originalmente en relación con una acusación de abril de 2023 contra Sim Hyon-Sop, un representante del Banco de Comercio Exterior de Corea del Norte (FTB) que se cree que conspiró con los trabajadores de TI.
Los trabajadores de TI, agregó el departamento, obtuvieron empleo en las compañías de criptomonedas estadounidenses que usan identidades falsas y luego lavaron sus ganancias obtenidas a través de SIM a los objetivos estratégicos de Pyongyang en violación de las sanciones impuestas por la Oficina de Control de Activos Extranjeros de los Estados Unidos (OFAC) y las Naciones Unidas.
El esquema fraudulento se ha convertido en una operación masiva desde sus orígenes en 2017. La operación ilegal de empleo aprovecha una combinación de identidades robadas y ficticias, ayudadas con la ayuda de herramientas de inteligencia artificial (IA) como OpenAI Chatgpt, para evitar los controles de diligencia debida y los empleos seguros de Freelance.
Seguimiento de los apodos Wagmole y UNC5267, se evalúa la actividad que está afiliada al Partido de los Trabajadores de Corea y se considera una estrategia metódicamente diseñada para incrustar a los trabajadores de IT dentro de las compañías legítimas para generar una fuente constante de ingresos para Corea del Norte.
Además de tergiversar identidades y ubicaciones, un aspecto central de la operación implica reclutar facilitadores para ejecutar granjas portátiles en todo el mundo, permitir etapas de entrevistas de video, así como lavar las ganancias a través de varias cuentas.
Uno de esos facilitadores de la granja de computadoras portátiles fue Christina Marie Chapman, quien se declaró culpable a principios de febrero por su participación en el esquema de regeneración de ingresos ilícitos. En un informe publicado el mes pasado, el Wall Street Journal reveló cómo un mensaje de LinkedIn en marzo de 2020 Drew Chapman, una ex camarera y terapeuta de masaje con más de 100,000 seguidores en Tiktok, en la intrincada estafa. Está programada para ser sentenciada el 16 de julio.
«Después de lavar estos fondos, los trabajadores de TI de Corea del Norte supuestamente los enviaron de regreso al gobierno de Corea del Norte, a veces a través de Sim y Kim Sang Man», dijo el Departamento de Justicia. «Kim es un ciudadano norcoreano que es el director ejecutivo de ‘Chinyong’, también conocido como ‘Compañía de cooperación de IT Jinyong'».
Un análisis de la billetera de criptomonedas de Sim por TRM Labs ha revelado que ha recibido más de $ 24 millones en criptomonedas desde agosto de 2021 hasta marzo de 2023.
 |
| Evaluación organizacional de Corea del Norte |
«La mayoría de estos fondos se remontan a las cuentas de Kim, que se abrieron utilizando documentos de identidad rusos falsificados y se accede desde dispositivos en idioma coreano que operan desde los EAU y Rusia», dijo TRM Labs. «Sim, un funcionario norcoreano, operaba desde Dubai y mantuvo una billetera autohospedada que recibió fondos lavados de docenas de fuentes».
Kim, de su base en Vladivostok, Rusia, actuó como intermediario entre los trabajadores de TI y FTB, utilizando dos cuentas para recopilar fondos de ellos y redistribuir los ingresos a SIM y otras billeteras conectadas a Corea del Norte.
La compañía de ciberseguridad DTEX ha caracterizado la amenaza de los trabajadores de TI como un sindicato de delincuencia patrocinado por el estado que está orientado principalmente a la evasión de sanciones y generando ganancias, con la amenaza que los actores cambian gradualmente de las granjas de las computadoras portátiles a usar sus propias máquinas como parte de las políticas de traer su propio dispositivo (BYOD) de las empresas.
«La oportunidad es realmente su única táctica y todo se trata como una herramienta de algún tipo», dijo Michael Barnhart, investigador de riesgos I3 Insider de DTEX I3 en DTEX Systems, a The Hacker News.
«Si el enfoque se centra en las granjas portátiles, lo que ha sido muy bueno para expresar esa palabra, entonces, naturalmente, esta nación oportunista quiere gravitar a donde el camino es mucho más fácil si está afectando las operaciones. Hasta que las granjas de las computadoras portátiles ya no son efectivas en absoluto, entonces eso aún será una opción, pero el abuso de Byod era algo que DTEX había visto en las investigaciones y no se publicitó como lo fueron las granjas».
DTEX señaló además que estos trabajadores de TI podrían caer en cualquiera de las dos categorías: Trabajadores de TI de ingresos (R-ITW) o trabajadores de TI maliciosos (M-ITW), cada uno de los cuales tiene su propia función dentro de la estructura cibernética de Corea del Norte.
Si bien se dice que el personal de R-ITW es menos privilegiado y principalmente motivado para ganar dinero para el régimen, los actores de M-ITW van más allá de la generación de ingresos extorsionando a un cliente de víctima, saboteando un servidor de criptomonedas, robando una valiosa propiedad intelectual o ejecutando código malicioso en un entorno.
Chinyong, según la empresa de gestión de riesgos internos, es una de las muchas compañías de TI que ha implementado a sus trabajadores en una combinación de trabajo independiente de TI y robo de criptomonedas al aprovechar su acceso interno a proyectos de blockchain. Opera desde China, Laos y Rusia.
Dos personas asociadas con los esfuerzos de trabajadores de TI relacionados con Chinyong han sido desenmascarados por haber usado a las personas Naoki Murano y Jenson Collins para recaudar fondos para Corea del Norte, con Murano previamente vinculado a un atraco de $ 6 millones en la firma criptogrima Deltaprime en septiembre de 2024.
«En última instancia, la detección de granjas portátiles unidas a la RPDC y esquemas de trabajadores remotos requiere que los defensores miren más allá de los indicadores tradicionales de compromiso y comiencen a hacer diferentes preguntas, sobre la infraestructura, el comportamiento y el acceso», dijo el investigador de seguridad Matt Ryan. «Estas campañas no se tratan solo de malware o phishing; se tratan de engaño a escala, a menudo ejecutadas de manera que se mezclan sin problemas con el trabajo remoto legítimo».
Una mayor investigación sobre el extenso fraude multimillonario ha descubierto varias cuentas vinculadas a dominios falsos establecidos para las diversas compañías delanteras utilizadas para proporcionar referencias falsas a los trabajadores de TI. Estas cuentas se infectaron con malware de robo de información, señaló Flashpoint, lo que le permite marcar algunos aspectos de su artesanía.
La compañía dijo que identificó un anfitrión comprometido ubicado en Lahore, Pakistán, que contenía una credencial guardada para una cuenta de correo electrónico que se utilizó como punto de contacto al registrar los dominios asociados con la información de la caja de bebés, Helix US y Cubix Tech US.
Además de eso, el historial del navegador capturado por el malware del robador en otro caso ha capturado las URL de traductor de Google relacionadas con docenas de traducciones entre inglés y coreano, incluidos los relacionados con el proporcionar referencias de trabajo falsificadas y los dispositivos electrónicos de envío.
Eso no es todo. Investigaciones recientes también han puesto al descubierto un «sistema encubierto de control remoto de múltiples capas» utilizado por los trabajadores de TI de Corea del Norte para establecer un acceso persistente a las computadoras portátiles emitidas por la compañía en una granja de computadoras portátiles mientras se ubican físicamente en Asia.
«La operación aprovechó una combinación de señalización de protocolo de bajo nivel y herramientas de colaboración legítimas para mantener el acceso remoto y habilitar la visibilidad y el control de los datos utilizando el zoom», dijo Sygnia en un informe publicado en abril de 2025. «La cadena de ataque (…) involucró el abuso de los paquetes ARP para activar acciones basadas en eventos basados en WebSocket (C2).
«Para mejorar aún más el sigilo y la automatización, se requirieron configuraciones específicas del cliente de zoom. Las configuraciones se ajustaron meticulosamente para evitar que los indicadores orientados al usuario y las perturbaciones audiovisuales. Los usuarios se registraron persistentemente, el video y el audio se silenciaron automáticamente al unirse, los nombres de los participantes se ocultaron, compartiendo la pantalla iniciadas sin indicadores visibles y Windows previamente sin recaudación».
Correr complementario a Wagemole es otra campaña denominada entrevista contagiosa (también conocida como DeceptedEgranment, famosa Chollima, Gwisin Gang, Tenacious Pungsan, UNC5342 y Void Dokkaebi) que realiza principalmente actividades maliciosas que dirigen a los desarrolladores a obtener la compañía no pasada de acceso como opuesto a obtener el empleo.
«Gwisin Gang Francamente son trabajadores de TI que, en lugar de tomar el largo proceso de solicitar un trabajo, se dirigen a alguien que ya tenía el trabajo», dijo Barnhart. «Parecen elevados y únicos en el sentido de que tienen un uso de malware que también hace eco de esta noción. Sin embargo, los trabajadores de TI son un término general y hay muchos estilos, variedades y niveles de habilidad entre ellos».
En cuanto a cómo el esquema de trabajadores de TI podría evolucionar en los próximos años, Barnhart señala al sector financiero tradicional como objetivo.
«Con la implementación de las tecnologías blockchain y Web3 en las instituciones financieras tradicionales, creo que todos los activos cibernéticos de la RPDC en ese espacio tendrán como objetivo que estas empresas estuvieran de la manera en que sucedió en años pasados», señaló Barnhart. «Cuanto más nos integramos con esas tecnologías, más cuidadoso debemos ser ya que la RPDC está muy arraigada».