Los agentes norcoreanos han “diversificado” su forma de defraudar a las víctimas a través de plataformas de trabajo independiente y de alojamiento de código que reclutan a usuarios desprevenidos como servidores proxy dedentpara trabajos tecnológicos remotos, según investigadores de ciberseguridad.
Los trabajadores de TI de la República Popular Democrática de Corea (RPDC) están utilizando Upwork, Freelancer y GitHub para hacerse pasar por trabajadores legítimos y evadir sanciones internacionales mediante el uso de cuentas verificadas que pertenecen a personas reales.
Según el investigador de ciberseguridad Heiner García Pérez, miembro de SEAL Intel, los piratas informáticos comienzan publicando ofertas de trabajo independientes o acercándose a los candidatos, para luego trasladar las conversaciones a canales cifrados como Telegram o Discord, donde brindan instrucciones detalladas sobre cómo configurar el acceso remoto y las comprobaciones de verificación.
Los malos actores de la RPDC utilizan trabajadores autónomos para evadir las sanciones
García descubrió que los agentes de la RPDC pueden eludir los filtros geográficos,dentdentdentdentdentdentdentdentdent.
Les permite postularse o realizar trabajos de TI remotos bajo unadentrobada o prestada, ocultando su origen mientras recolectan pagos de clientes desprevenidos.
“Estos actores están organizados, coordinados y comparten estrategias operativas. La consistencia de sus métodos demuestra que esto forma parte de un sistema repetible y respaldado por el Estado”, escribió el miembro de inteligencia de los SEAL.
Tal como informó Cryptopolitan Cryptopolitan en agosto, varios trabajadores informáticos norcoreanos se han infiltrado en empresas internacionales utilizandodent. Según se informa, esto ha ayudado a las autoridades de la RPDC a desplegar profesionales informáticos remotos en el extranjero para obtener puestos de trabajo independientes o portracidentidades robadas o prestadasdentademás de utilizar empresas fantasma para ocultar su afiliación.
Aquellos cuyasdentson utilizadas reciben solo alrededor del 20% de las ganancias totales, mientras que los operadores se quedan con el 80%, canalizado a través de billeteras de criptomonedas o incluso cuentas bancarias tradicionales.
Uso de IA para manipular imágenes y nombres de empresas
La investigación de García Pérez reveló varias conductas de sofisticación técnica y ocultación deliberada. En un caso, un empleado de TI creó una carpeta de Google Drive llamada "Mi Foto", donde se almacenaban retratos editados con IA junto con carpetas con los nombres de otras personas. Cree que estos documentos digitales son personas distintas gestionadas por el mismo operador.
Los archivos que recuperó de la unidad contenían información más detallada sobre los procesos de contratación y pago. Un archivo titulado "Cuenta" contenía instrucciones que explicaban cómo acceder a Upwork, el propósito de la colaboración y cómo se dividirían las ganancias.
Algunas carpetas tenían nombres en coreano, como "it개발 매칭 플랫폼 사이트", que se traduce como "sitio de plataforma de desarrollo de TI". El investigador afirmó que dichos documentos se utilizaban para usuarios de habla coreana y el ecosistema de TI nacional
Heiner García Pérez también descubrió que actores norcoreanos están explotando comunidades en línea para personas con discapacidad, portales de búsqueda de empleo e incluso sitios web de amistad como InterPals para reclutar colaboradores.
Flujos de pago a través de criptomonedas, PayPal y bancos
Los objetivos ideales de estas operaciones se ubican principalmente en Estados Unidos, Europa y partes de Asia. Sin embargo, Ucrania y Filipinas fueron las regionesdentcon mayor frecuencia en los materiales de reclutamiento debido a su ubicación geográfica para candidatos de bajos ingresos que podrían ser más receptivos a oportunidades de ingresos rápidos
“Si un cliente publica un proyecto, muchos usuarios freelance pujan por él. Entonces, el cliente comenta su proyecto con freelancers y se lo entrega al desarrollador seleccionado. Si lo decido, puedo trabajar en el proyecto del cliente. Una vez finalizado, puedo recibir el dinero del cliente. El dinero se acreditará en su cuenta de freelancer”, explicó un reclutador de TI a una freelancer llamada “Ana” sobre cómo generar ingresos
La estructura de reparto de beneficios entre operadores y colaboradores se acuerda al principio del intercambio. En la mayoría de los casos documentados, los trabajadores de TI convencen a las víctimas de usar criptomonedas, PayPal e incluso transferencias bancarias.
En un caso verificado, un trabajador de TI de Corea del Norte utilizó una cuenta fraudulenta de Upwork registrada bajo ladentde un arquitecto con sede en Illinois.
