Los agentes cibernéticos norcoreanos formaron silenciosamente dos compañías de responsabilidad limitada en Estados Unidos y las usaron para pasar códigos dañinos a ingenieros de software que buscaban trabajo en el mundo de las criptomonedas, según documentos legales estadounidenses e investigaciones compartidas con Reuters.
Silent Push, una empresa de ciberseguridad, afirma que Blocknovas LLC en Nuevo México y Softglide LLC en Nueva York se crearon con nombres ficticios y direcciones alquiladas para que los hackers pudieran simular ser empleadores legítimos mientras enviaban malware a los solicitantes. Una tercera empresa, Angeloper Agency, contenía huellas web maliciosasdent, pero no aparecía en ningún registro corporativo de EE. UU.
"Este es un raro ejemplo de piratas informáticos norcoreanos que lograron establecer entidades corporativas legales en Estados Unidos con el fin de crear frentes corporativos utilizados para atacar a solicitantes de empleo desprevenidos", dijo a Reuters Kasey Best, director de inteligencia de amenazas de Silent Push.
La Oficina Federal de Investigaciones (FBI) de EE. UU. no quiso hablar directamente sobre las dos empresas. Sin embargo, el jueves, publicó un aviso de incautación en el sitio web de Blocknovas que indicaba que el dominio había sido confiscado "como parte de una acción policial contra ciberdelincuentes norcoreanos que lo utilizaban para engañar a personas con ofertas de trabajo falsas y distribuir malware"
Antes del derribo, altos funcionarios del FBI dijeron que la agencia tiene como objetivo "imponer riesgos y consecuencias, no solo a los propios actores de la RPDC, sino a cualquiera que facilite su capacidad para llevar a cabo estos planes"
a las unidades de piratería informática de Corea del Norte como “quizás una de las amenazas persistentes más avanzadas” que enfrenta Estados Unidos hoy en día.
Silent Push afirma que los atacantes se hicieron pasar por reclutadores y ofrecieron entrevistas que requerían que los objetivos abrieran archivos maliciosos.
Blocknovas y Softglide usaron anuncios de empleo para infiltrar malware entre los desarrolladores de criptomonedas
Una vez lanzados, los archivos intentaron recolectar claves de billeteras de criptomonedas, contraseñas y otrasdentque luego podrían ayudar a ingresar a intercambios o empresas de tecnología.
El informe inédito de la empresa confirma “múltiples víctimas”, la mayoría de ellas contactadas a través de Blocknovas, que los investigadores describen como “de lejos el más activo” de los tres frentes.
Los registros estatales muestran que Blocknovas se registró en Nuevo México el 27 de septiembre de 2023. Su documentación incluye una dirección postal en Warrenville, Carolina del Sur, que Google Maps muestra como un lote vacío.
La constitución de Softglide en Nueva York traca una pequeña oficina de preparación de impuestos en Buffalo. No se encontró tracde las personas cuyos nombres aparecen en ninguna de las declaraciones.
Funcionarios estadounidenses afirman que este patrón se ajusta a un esfuerzo más amplio de Corea del Norte por recaudar divisas. Washington, Seúl y expertos de las Naciones Unidas llevan tiempo acusando a Pyongyang de robar criptomonedas y enviar a miles de trabajadores de tecnologías de la información al extranjero para financiar el programa de misiles nucleares del país.
Dirigir una empresa controlada por Corea del Norte dentro de Estados Unidos infringe las sanciones impuestas por la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro. Viola las medidas del Consejo de Seguridad de la ONU que prohíben las actividades comerciales que benefician al Estado o al ejército norcoreano.
Los archivos de trabajo cargados de malware están vinculados a Lazarus Group
El secretario de estado de Nuevo México declaró en un correo electrónico que Blocknovas se presentó a través del sistema en línea de LLC nacionales mediante un agente registrado y que parecía cumplir con las normas estatales. "Nuestra oficina no sabría de ninguna manera su conexión con Corea del Norte", escribió un representante.
Los investigadores vinculan la actividad a un subgrupo del Grupo Lazarus, un equipo de hackers de élite que responde a la Oficina General de Reconocimiento, el principal brazo de inteligencia exterior de Pyongyang.
Silent Pushdental menos tres familias de malware previamente conocidas dentro de los archivos de trabajo maliciosos. Las herramientas pueden extraer datos de equipos infectados, abrir puertas traseras para nuevas intrusiones y descargar código de ataque adicional, una estrategia frecuente en actividades anteriores de Lazarus.
Por ahora, el dominio de Blocknovas se encuentra bajo embargo federal, el sitio web de Softglide está fuera de línea y las páginas de la Agencia Angeloper presentan errores. Sin embargo, los investigadores advierten que pueden aparecer nuevos alias rápidamente.
"Esta operación ilustra la amenaza en constante evolución que plantean los actores cibernéticos de la RPDC", dijo el FBI en su declaración, instando a los profesionales de la tecnología a examinar minuciosamente las ofertas de trabajo no solicitadas y a denunciar cualquier comunicación sospechosa.
