Incidentes Asociados
Los jóvenes desarrolladores se lo pasan en grande. Abren botellas de vino espumoso, cenan bistecs, juegan al fútbol juntos y se relajan en una lujosa piscina privada. Toda su actividad quedó plasmada en fotos que luego se publicaron en línea. En una imagen, un hombre posa frente a una figura de cartón de Minions a tamaño real. Pero a pesar de su entusiasmo, no son empresarios exitosos de Silicon Valley; son trabajadores de TI del Reino Ermitaño de Corea del Norte, que se infiltran en empresas occidentales y envían sus salarios a casa.
Dos miembros de un grupo de desarrolladores norcoreanos, que presuntamente operaban desde Laos, un país del sudeste asiático, antes de ser reubicados en Rusia a principios de 2024, están siendo identificados hoy por investigadores de la empresa de ciberseguridad DTEX. Los hombres, que según DTEX utilizaron los nombres de "Naoki Murano" y "Jenson Collins", presuntamente participaron en la recaudación de fondos para el brutal régimen norcoreano como parte de la epidemia generalizada de trabajadores de TI. Murano presuntamente estuvo previamente vinculado a un robo de 6 millones de dólares en la empresa de criptomonedas DeltaPrime el año pasado. Durante años, la identidad de Kim Jong Un en Corea del Norte ha planteado uno de los dilemas más sofisticados y peligrosos. ciber](https://www.wired.com/2017/05/wannacry-ransomware-link-suspected-north-korean-hackers/) amenazas a los países y empresas occidentales, con sus hackers robando la propiedad intelectual necesaria para desarrollar su propia tecnología, además de saquear miles de millones en criptomonedas para evadir sanciones y crear armas nucleares. En febrero, el FBI anunció que Corea del Norte había perpetrado el mayor robo de criptomonedas de la historia, robando 1.500 millones de dólares de la plataforma de intercambio Bybit. Además de sus hábiles hackers, los trabajadores de TI de Pyongyang, que a menudo residen en China o Rusia, engañan a las empresas para que los contraten a distancia y se han convertido en una amenaza cada vez mayor.
"Lo que estamos haciendo no funciona, y si funciona, no lo hace con la suficiente rapidez", afirma Michael "Barni" Barnhart, destacado investigador cibernético norcoreano e investigador principal de DTEX. Además de identificar a Murano y Collins, DTEX, en un informe detallado sobre la ciberactividad norcoreana (https://www.dtexsystems.com/exposing-dprk), también publica más de 1000 direcciones de correo electrónico que, según afirma, están vinculadas a la actividad de los trabajadores de TI norcoreanos. Esta medida constituye una de las mayores revelaciones sobre la actividad de los trabajadores de TI norcoreanos hasta la fecha.
Las amplias operaciones cibernéticas de Corea del Norte no pueden compararse con las de otras naciones hostiles, como Rusia y China, explica Barnhart en el informe de DTEX, ya que Pyongyang opera como una "organización criminal autorizada por el Estado" en lugar de operaciones militares o de inteligencia más tradicionales. Todo se basa en la financiación del régimen, el desarrollo de armamento y la recopilación de información, afirma Barnhart. "Todo está interconectado de alguna manera".
Los Misfits se mudan
Alrededor de 2022 y 2023, DTEX afirma que tanto Naoki Murano como Jenson Collins (cuyos nombres reales se desconocen) residían en Laos y también viajaban entre Vladivostok, Rusia. Ambos aparecieron entre un grupo más amplio de posibles norcoreanos en Laos, y un conjunto de sus fotos se expuso inicialmente en una carpeta abierta de Dropbox. Las fotos fueron descubiertas por un colectivo de investigadores norcoreanos que colaboran a menudo con Barnhart y se autodenominan la alianza "Misfit". En las últimas semanas, han publicado numerosas imágenes de supuestos trabajadores informáticos norcoreanos trabajadores informáticos norcoreanos en línea.
Los trabajadores informáticos norcoreanos son prolíficos en sus actividades, y a menudo intentan infiltrarse en varias empresas simultáneamente usando identidades robadas o creando personajes falsos para aparentar legitimidad. Algunos utilizan plataformas de trabajo freelance; otros intentan reclutar facilitadores internacionales para gestionar granjas de ordenadores portátiles. Aunque sus perfiles en línea puedan ser falsos, el país —donde millones de personas carecen de derechos humanos básicos o acceso a internet— encamina a niños talentosos hacia su programa educativo, donde pueden convertirse en desarrolladores y hackers expertos. Esto significa que muchos de los trabajadores de TI y hackers probablemente se conocen, posiblemente desde niños. A pesar de ser expertos en tecnología, a menudo dejan un rastro de migas de pan digitales a su paso.
Murano fue vinculado por primera vez con operaciones norcoreanas públicamente por el investigador de criptomonedas ZachXBT, quien publicó los nombres, detalles de la billetera de criptomonedas y direcciones de correo electrónico de más de 20 trabajadores de TI norcoreanos el año pasado. Murano luego fue vinculado con el robo de DeltaPrime en informe de Coinbase en octubre. Miembros del colectivo Misfits han compartido fotos de Murano luciendo complacido consigo mismo mientras come un filete y una foto de un presunto pasaporte japonés.
Mientras tanto, Collins, a quien DTEX incluyó en su informe y que apareció en fotos de piscinas en la carpeta de Dropbox, se dedicaba principalmente a trabajos de TI que generaban ingresos para Pyongyang, afirma narcass3, miembro de Misfits que pidió ser identificado por su nombre de usuario en línea. "Parece haber trabajado principalmente en proyectos de criptomonedas y blockchain, incluyendo uno que parece estar completamente respaldado por la RPDC o compuesto principalmente por trabajadores de TI", afirma narcass3.
Evan Gordenker, gerente senior de consultoría del equipo de inteligencia de amenazas de la Unidad 42 de la empresa de ciberseguridad Palo Alto Networks, afirma estar familiarizado con las dos personas identificadas por DTEX y otros medios, así como con el grupo de trabajadores norcoreanos radicados en Laos. El grupo publicaba numerosas solicitudes de empleo, creaba personas falsas y buscaba posibles cómplices, afirma el investigador. "Me pareció que también disfrutaban de un nivel de autonomía que no creo que se suela ver en algunos grupos [de trabajadores de TI]", dice Gordenker. "No sé si se debe a que generaban más dinero y obtenían más privilegios o simplemente a que tenían un líder de grupo que operaba de esa manera".
Una dirección de correo electrónico a nombre de Murano fue rebotada al ser contactada por WIRED. Mientras tanto, una dirección de correo electrónico a nombre de Collins no respondió a una solicitud de comentarios.
Ocultos a plena vista
Los trabajadores de TI de Pyongyang han estado operando durante casi una década, pero la atención sobre sus actividades se ha intensificado en los últimos 12 meses, ya que las empresas de la lista Fortune 500 se dieron cuenta de que habían contratado a norcoreanos sin darse cuenta. El régimen de Kim Jong Un establece "cuotas de ingresos" para equipos de hackers y trabajadores de TI, según Barnhart, y los trabajadores de TI operan desde múltiples organizaciones militares y de inteligencia norcoreanas. Un trabajador de TI que ganara 5.000 dólares al mes podría quedarse con 200 dólares, afirma el investigador.
Trabajadores informáticos maliciosos, que podrían robar además de ganar dinero, forman parte de la recientemente revelada organización de inteligencia artificial llamada Centro de Investigación 227, que forma parte de la principal agencia de inteligencia, la Oficina General de Reconocimiento. Otros forman parte de equipos del Ministerio de Defensa Nacional, según un organigrama cibernético publicado por Barnhart en el informe DTEX. Los trabajadores informáticos que solo buscan generar ingresos con sus trabajos podrían pertenecer al Departamento de la Industria de Municiones, según la investigación. El reciente aumento del escrutinio en torno a los trabajadores de TI se ha producido en medio de una creciente represión del gobierno estadounidense: en mayo de 2023, sancionó a la empresa norcoreana Chinyong Information Technology Cooperation Company por emplear a trabajadores de TI en Laos y Rusia, mientras que a principios de este año, el Departamento del Tesoro de Estados Unidos sancionó a dos empresas fachada norcoreanas y sus jefes con sede en China y Laos. El Tesoro afirmó que los grupos de trabajadores de TI generan "cientos de millones de dólares" para el régimen, y miles de ellos son enviados a todo el mundo.
"Los trabajadores de TI se basan en cifras y solicitan puestos remotos en grandes cantidades", afirma Rafe Pilling, director de inteligencia de amenazas de la Unidad de Contraamenazas de Sophos. Esto significa que suelen cometer errores. Parecen operar a un ritmo tal que pueden cometer errores, como dejar repositorios de CV y herramientas en Github accesibles públicamente, dejar comentarios en código y scripts, cometer errores en los CV que facilitan su detección como falsos, y cometer deslices ante la cámara durante las entrevistas que pueden revelar subterfugios.
Además de identificar a Murano y Collins, DTEX también publicó más de 1000 direcciones de correo electrónico presuntamente vinculadas a operaciones de trabajadores de TI de Corea del Norte, recopiladas mediante investigaciones y colaboración con investigadores. Cada dirección de correo electrónico ha sido proporcionada por múltiples fuentes, afirma Barnhart. Un análisis de WIRED de casi dos docenas de correos electrónicos, utilizando herramientas de inteligencia de código abierto y una base de datos de material filtrado en línea, muestra que pocos parecen mostrar indicios de un comportamiento en línea auténtico; algunas direcciones de correo electrónico están vinculadas a herramientas de desarrollo en línea o sitios web de trabajo independiente, mientras que otras tienen muy poca presencia en línea.
"Hay bastante reutilización de perfiles y algunos duran años y años", afirma Gordenker de Unit 42. Otros podrían usarse solo una vez, dice Gordenker, pero los estafadores pueden crear rápidamente nuevos perfiles si es necesario. "Verás, un perfil que funciona, por ejemplo, a veces puede tener cuatro, cinco o seis trabajos diferentes a lo largo de su vida".
A medida que se identifican más trabajadores de TI, estos adoptan cada vez más tácticas para dificultar su detección. Varios investigadores de ciberseguridad han descubierto que norcoreanos utilizan software de cambio de rostro durante entrevistas en video o utilizan asistentes de inteligencia artificial para responder preguntas en tiempo real.
Rostros Cambiantes
El trabajador de TI está de pie en medio de la pequeña sala y posa para su foto. Un reloj en la pared marca las 11:30. Al fondo, otros tres hombres con uniformes militares se inclinan sobre sus computadoras. En la foto, publicada originalmente por DTEX, se ve un tendedero al fondo de la sala. "Hay mucho que desentrañar en esa imagen", dice Barnhart.
Barnhart explica que, si bien se desconoce mucho sobre la foto, revela algunos detalles sobre cómo opera el grupo de informáticos. Uno de los hombres, en el extremo derecho de la fotografía, parece tener mensajes de WhatsApp abiertos en la pantalla de su ordenador, con múltiples chats en curso. Fijada en la pared sobre él hay una cámara de vigilancia.
"El MSS los vigila para que no se conviertan en desertores", dice Barnhart, refiriéndose a la agencia de contrainteligencia y policía secreta de Corea del Norte, el Ministerio de Seguridad del Estado. Dado que los hombres trabajan en un espacio de trabajo pequeño, es probable que ocupen un puesto inferior en la jerarquía de los informáticos y, al igual que sus compatriotas, también se enfrentarán a vigilancia digital cuando usen sus ordenadores, afirma. Barnhart afirma que el software que ha visto monitorea lo que los informáticos escriben y envían en sus dispositivos. "Lo detestan", afirma. "Envía alertas a servidores externos cada vez que se habla de imágenes o contenido sexual o si se menciona a Kim Jong-un". Otros investigadores han detectado a supuestos trabajadores de TI finalizando entrevistas de trabajo al preguntarles una variación de la pregunta: "¿Cuánto de gordo está Kim Jong Un?".
Si bien no está claro dónde se encuentran físicamente los hombres en la sala, hay indicios de que la fotografía del retrato del sujeto principal se ha utilizado para crear una identidad falsa. Imágenes posteriores obtenidas por Barnhart muestran al hombre con diferentes atuendos y convertido en una ilustración de su rostro al estilo de una caricatura.
"Lo muestra retocándose la línea del cabello. Lo muestra alterando sus rasgos, básicamente preparándose para sus perfiles", afirma Barnhart. Una de estas fotos —en la que aparece con una chaqueta de cuero— aparece en el sitio web de "Benjamin Martin", un autoproclamado desarrollador web3 y full-stack.
Además de parecer el norcoreano que aparece en la foto del trabajador de TI, dos de las empresas que aparecen en el currículum en línea de Martin declararon a WIRED que no han oído hablar de él, y mucho menos que lo han contratado. Una de las empresas afirmó que no estaba completamente constituida durante la mayor parte del tiempo que Martin, según la identidad de Martin, trabajó allí. Martin no respondió a los mensajes enviados al correo electrónico que figuraba en la página web del desarrollador, mientras que una cuenta de Telegram vinculada a un número de teléfono en el sitio web de Martin respondió "sí" en un breve intercambio en chino cuando se le preguntó si era un trabajador de TI norcoreano.
En última instancia, afirma Barnhart, es necesario comprender cómo operan los hackers y los trabajadores de TI norcoreanos, con la fluidez entre grupos y enfoques, antes de que se produzca una interrupción significativa de sus esfuerzos. "Necesitamos reenfocarnos, necesitamos reestructurarnos", afirma Barnhart. "Corea del Norte ya ha pasado a su siguiente punto y ahora están subcontratando y creando otra capa de ofuscación allí también".