Microsoft limpia 3.000 cuentas de correo electrónico vinculadas a trabajadores de TI de Corea del Norte

Microsoft ha suspendido 3.000 cuentas de Outlook y Hotmail vinculadas a un plan norcoreano que involucra a ciudadanos de la RPDC que se hacen pasar por trabajadores remotos bajodentfalsas.

Funcionarios estadounidenses han advertido repetidamente que Corea del Norte utiliza ganancias ilícitas provenientes de ciberataques, fraudes y operaciones informáticas para eludir las sanciones internacionales y mantener sus programas militares. Las autoridades ahora están intensificando la lucha contra lo que denominan una operación criminal global que canaliza secretamente millones de dólares al régimen autoritario de Kim Jong Un.

Microsoft cierra 3.000 cuentas de correo electrónico vinculadas a Corea del Norte

Microsoft ha suspendido más de 3.000 cuentas de correo electrónico en una redada internacional operada por trabajadores de TI de Corea del Norte que se hacen pasar por profesionales tecnológicos remotos.

Las acciones de Microsoft son consecuencia de una operación coordinada entre el Departamento de Justicia de EE. UU., el FBI y otras agencias federales. Juntos, han comenzado a desmantelar una sofisticada conspiración, cuyo nombre en clave es "Jasper Sleet", creada por Microsoft Threat Intelligence. Se trata de una operación que explota los mercados laborales de freelancers y empresas tecnológicas de todo el mundo.

La operación no sólo defrauda a los empleadores, sino que también se cree que financia directamente el programa de armas nucleares de Corea del Norte.

Según el equipo de Inteligencia de Amenazas de Microsoft, el plan involucra a profesionales de TI capacitados de la República Popular Democrática de Corea (RPDC) que asumendentfalsas para conseguir empleo remoto en empresas extranjeras, especialmente en Estados Unidos.

Muchos de estos trabajadores son altamente calificadosy algunos empleadores, sin saberlo, los elogian por su excelente desempeño.

“No se trata de hackers que irrumpen en los sistemas”, declaró el Centro de Inteligencia de Amenazas de Microsoft (MSTIC). “Son desarrolladores cualificados, ingenieros de control de calidad y especialistas en soporte informático que aprueban entrevistas, realizan trabajos reales y se integran, salvo por un detalle crucial: trabajan para la RPDC”

En muchos casos, los cómplices, que a veces son ciudadanos estadounidenses, facilitan el acceso alquilando susdento gestionando lo que las autoridades describen como “granjas de computadoras portátiles”

Las granjas de portátiles son ubicaciones físicas donde se envían y mantienen las computadoras portátiles proporcionadas por empleadores desprevenidos. Al menos 29 de estos sitios han sido registrados por las fuerzas del orden, y las computadoras portátiles han sido instaladas con software de acceso remoto o redirigidas físicamente a China o Rusia.

El Departamento de Justicia detalló recientemente el caso de un empleado de un salón de uñas con sede en Maryland que será sentenciado en agosto. Se descubrió que el hombre desempeñaba 13 trabajos simultáneamente para trabajadores de TI norcoreanos, ganando casi un millón de dólares en pagos a distancia.

Según estimaciones de las Naciones Unidas, el programa de trabajadores informáticos de Corea del Norte genera hasta 600 millones de dólares anuales. Estos ingresos suelen financiar operaciones de ciberdelincuencia y las ambiciones nucleares del país.

Microsoft contraataca con inteligencia artificial y herramientas de detección

En una publicación de blog de esta semana, Microsoft detalló la suspensión de 3.000 cuentas de correo electrónico de consumidores, principalmente Outlook y Hotmail, que estaban siendo utilizadas por los operativos norcoreanos.

“Más allá de las 3.000 cuentas de correo electrónico de consumidores que fueron eliminadas recientemente, en nuestros esfuerzos por interrumpir la actividad del actor y proteger a nuestros clientes de esta amenaza, Microsoft ha seguido eliminando cuentas personales a medida que sedenty tracel uso de IA por parte del actor”, dijo Jeremy Dallman, director sénior del Centro de Inteligencia de Amenazas de Microsoft.

Microsoft ha observado que los trabajadores norcoreanos se están volviendo cada vez más sofisticados. Ahora utilizan herramientas de IA para corregir erroresmaticen currículums y cartas de presentación, mejoran sus fotos para que parezcan más profesionales u occidentalizadas y utilizan la tecnología FaceSwap para imponer sus imágenes en documentos dedentrobados.

Algunos incluso están experimentando con software de manipulación de voz para ayudar a los facilitadores a superar las entrevistas de trabajo en su nombre. Si bien Microsoft aún no ha observado el uso de deepfakes combinados de voz y video impulsados ​​por IA en entrevistas en tiempo real, la compañía advirtió que podría ser solo cuestión de tiempo.

"Si tiene éxito, esta táctica podría permitir a los trabajadores de TI de Corea del Norte realizar entrevistas directamente y no depender más de facilitadores que los reemplacen", dijo Microsoft.

Estas tácticas mejoradas de IA permiten a los agentes enmascarar mejor su origen, lo que dificulta que los empleadoresdentlas señales de alerta. Los métodos comunes incluyen el reciclaje de nombres, direcciones de correo electrónico y plantillas de perfil en diversas plataformas de empleo como LinkedIn, GitHub y plataformas de freelancers.

Para detectar y defenderse de estas tácticas, Microsoft ha implementado una solución de aprendizaje automático personalizada que marca la actividad sospechosa utilizando lo que llama un análisis de "viaje en el tiempo imposible", que incluye el monitoreo de inicios de sesión en ubicaciones geográficamente inverosímiles dentro de períodos de tiempo estrechos, como el acceso desde los EE. UU. seguido de cerca por China o Rusia.

Microsoft también está reforzando sus herramientas de protección dedente instando a las empresas a adoptar protocolos de autenticacióntrony sistemas de detección de riesgos en tiempo real. La empresa tecnológica ha colaborado con agencias gubernamentales estadounidenses para compartir información y desarrollar soluciones técnicas aplicables en toda la industria de la ciberseguridad.

La compañía se ha comprometido a mantener la presión sobre la amenaza en constante evolución. "Jasper Sleet cambia y evoluciona constantemente sus perfiles", afirmó Dallman. "Estamos observando cómo se adaptan, especialmente con la IA, y trabajando para ir un paso por delante"