Según investigadores de ciberseguridad, los agentes norcoreanos han “diversificado” su forma de estafar a las víctimas a través de plataformas de trabajo independiente y alojamiento de código que reclutan a usuarios desprevenidos como intermediarios dedentpara trabajos tecnológicos remotos.
Los trabajadores informáticos de la República Popular Democrática de Corea (RPDC) están utilizando Upwork, Freelancer y GitHub para suplantar la identidad de trabajadores legítimos y evadir las sanciones internacionales mediante el uso de cuentas verificadas que pertenecen a personas reales.
Según el investigador de ciberseguridad Heiner García Pérez, miembro de SEAL Intel, los hackers comienzan publicando ofertas de trabajo freelance o contactando a los candidatos, luego trasladan las conversaciones a canales cifrados como Telegram o Discord, donde proporcionan instrucciones detalladas sobre cómo configurar el acceso remoto y las verificaciones.
Actores malintencionados de la RPDC utilizan trabajadores independientes para eludir las sanciones.
García descubrió que los operativos de la RPDC pueden sortear los filtros geográficos, dent y los sistemas de detección de VPN que normalmente bloquearían a los usuarios de países sancionados, utilizando silenciosamente identidades dent .
Esto les permite solicitar o realizar trabajos de TI remotos utilizando unadentrobada o prestada, ocultando su origen mientras cobran pagos de clientes desprevenidos.
“Estos actores están organizados, coordinados y comparten manuales operativos. La coherencia de sus métodos demuestra que esto forma parte de un sistema repetible y respaldado por el Estado”, escribió el miembro de inteligencia de los SEAL.
Como informó Cryptopolitan en agosto, varios trabajadores informáticos norcoreanos se han infiltrado en empresas internacionales utilizando dent . Esto, al parecer, ha ayudado a las autoridades de la RPDC a desplegar profesionales informáticos remotos en el extranjero para conseguir puestos de autónomos o por contrato con trac dent o prestadas , utilizando además empresas fantasma que ocultan su afiliación.
Aquellos cuyasdentse utilizan reciben solo alrededor del 20% de las ganancias totales, mientras que los operadores se quedan con el 80%, canalizado a través de billeteras de criptomonedas o incluso cuentas bancarias tradicionales.
Uso de IA para manipular imágenes y nombres de empresas
La investigación de García Pérez reveló varias conductas de sofisticación técnica y ocultamiento deliberado. En un caso, un informático había creado una carpeta de Google Drive llamada «Mi foto», donde se almacenaban retratos editados con IA junto con carpetas con nombres de otras personas. García Pérez cree que estos documentos digitales corresponden a identidades distintas gestionadas por el mismo operador.
Los archivos que recuperó del disco duro ofrecían información más detallada sobre los procesos de reclutamiento y pago. Un archivo titulado «Cuenta» contenía instrucciones que explicaban cómo acceder a Upwork, el propósito de la colaboración y cómo se repartirían los beneficios.
Algunas de las carpetas tenían nombres en coreano, como “it개발 매칭 플랫폼 사이트”, que se traduce como “plataforma de emparejamiento para el desarrollo de TI”. El investigador afirmó que dichos documentos se utilizaban para “usuarios de habla coreana y el ecosistema de TI nacional”.
Heiner García Pérez también descubrió que agentes norcoreanos están explotando comunidades en línea para personas discapacitadas, portales de búsqueda de empleo e incluso sitios web de amistad como InterPals para reclutar colaboradores.
Correo electrónico de reclutamiento de Interpals de la RPDC. Fuente: SEAL Intel
Los pagos se realizan a través de criptomonedas, PayPal y bancos.
Los objetivos ideales para este tipo de operaciones se encuentran principalmente en Estados Unidos, Europa y algunas partes de Asia. Sin embargo, Ucrania y Filipinas fueron las regiones másdenten los materiales de reclutamiento, ya que cuentan con una población de candidatos en entornos de bajos ingresos que podrían ser más receptivos a las oportunidades de obtener ingresos rápidos.
“Si un cliente publica un proyecto, muchos freelancers presentan sus propuestas. El cliente lo discute con los freelancers y se lo asigna al desarrollador seleccionado. Si me interesa, puedo trabajar en el proyecto del cliente. Una vez finalizado, recibo el pago del cliente, que se acredita en mi cuenta de freelancer”, explicó un reclutador de TI a una usuaria de una cuenta de freelancer llamada Ana.
La estructura de reparto de beneficios entre agentes y colaboradores se acuerda al inicio del intercambio. En la mayoría de los casos documentados, los informáticos convencen a las víctimas para que realicen los pagos a través de criptomonedas, PayPal e incluso transferencias bancarias.
En un caso verificado, un trabajador informático norcoreano utilizó una cuenta fraudulenta de Upwork registrada adentde un arquitecto con sede en Illinois.
Únase a una comunidad premium de comercio de criptomonedas gratis durante 30 días (normalmente $100/mes).
