Incidentes Asociados
La incautación de dinero e infraestructura a trabajadores de TI de la República Popular Democrática de Corea (RPDC) se produce tras los exitosos esfuerzos para empoderar al sector privado independiente en acciones disruptivas.
El 17 de octubre, en virtud de una orden judicial emitida en el Distrito Este de Misuri, Estados Unidos incautó 17 dominios de sitios web utilizados por trabajadores de TI de la República Popular Democrática de Corea (RPDC) en un plan para defraudar a empresas estadounidenses y extranjeras, evadir sanciones y financiar el desarrollo del programa de armas del gobierno de la RPDC. Estas incautaciones siguen a las incautaciones previamente selladas, autorizadas por el tribunal en octubre de 2022 y enero de 2023, de aproximadamente 1,5 millones de dólares de los ingresos que el mismo grupo de trabajadores de TI obtuvo de víctimas involuntarias como resultado de su plan, así como al desarrollo de alianzas público-privadas para el intercambio de información que negaron a los trabajadores de TI el acceso a sus proveedores de servicios de pago y trabajo freelance en línea preferidos.
"Las incautaciones anunciadas hoy protegen a las empresas estadounidenses de la infiltración de código informático norcoreano y ayudan a garantizar que las empresas estadounidenses no sean utilizadas para financiar el programa de armas de ese régimen", declaró el Fiscal General Adjunto Matthew G. Olsen, de la División de Seguridad Nacional del Departamento de Justicia. "El Departamento de Justicia se compromete a colaborar con socios del sector privado para proteger a las empresas estadounidenses de este tipo de fraude, reforzar nuestra ciberseguridad colectiva e interrumpir los fondos que alimentan los misiles norcoreanos".
"Las incautaciones de hoy ejemplifican nuestro compromiso de colaborar con nuestros socios federales e internacionales para reconocer y contrarrestar la amenaza de actores ilícitos que trabajan en nombre de la República Popular Democrática de Corea", declaró el Subdirector Bryan Vorndran, de la División Cibernética del FBI. Estas incautaciones también sirven como recordatorio para garantizar que nuestros socios del sector privado estén equipados y preparados con la debida diligencia para evitar la contratación involuntaria de estos actores maliciosos en las empresas estadounidenses. El FBI insta a las empresas estadounidenses a denunciar actividades sospechosas, incluyendo cualquier actividad sospechosa de trabajadores de TI de la RPDC, a su oficina local del FBI.
"Los empleadores deben ser cautelosos con respecto a quién contratan y a quién permiten el acceso a sus sistemas de TI", declaró el fiscal federal Sayler A. Fleming para el Distrito Este de Misuri. "Podrían estar ayudando a financiar el programa de armas de Corea del Norte o permitiendo que hackers roben sus datos o los extorsionen en el futuro".
"La República Popular Democrática de Corea ha inundado el mercado global con trabajadores de tecnología de la información malintencionados para financiar indirectamente su programa de misiles balísticos. La incautación de estos dominios fraudulentos ayuda a proteger a las empresas de la contratación inadvertida de estos actores maliciosos y de posibles daños a sus negocios", declaró el agente especial a cargo Jay Greenberg, de la División de San Luis del FBI. Este esquema es tan común que las empresas deben estar atentas para verificar a quién contratan. Como mínimo, el FBI recomienda que los empleadores tomen medidas proactivas adicionales con los trabajadores de TI remotos para dificultar que los actores maliciosos oculten sus identidades. Sin la debida diligencia, las empresas corren el riesgo de perder dinero o verse comprometidas por amenazas internas que, sin saberlo, introdujeron en sus sistemas.
Como se alega en documentos judiciales, el Gobierno de la República Popular Democrática de Corea (RPDC) envió a miles de trabajadores de TI cualificados a vivir en el extranjero, principalmente en China y Rusia, con el objetivo de engañar a empresas estadounidenses y de otros países para que los contrataran como trabajadores de TI autónomos y así generar ingresos para sus programas de armas de destrucción masiva (ADM). Mediante este esquema, que implica el uso de correos electrónicos seudónimos, redes sociales, plataformas de pago y cuentas de portales de empleo en línea, así como sitios web falsos, servidores proxy ubicados en Estados Unidos y otros países, y terceros, tanto conscientes como inconscientes, los trabajadores de TI generaron millones de dólares al año en nombre de entidades designadas, como el Ministerio de Defensa de Corea del Norte y otras, directamente involucradas en los programas de armas de destrucción masiva de la RPDC, prohibidos por la ONU.
En algunos casos, los trabajadores de TI también se infiltraron en las redes informáticas de empleadores involuntarios para robar información y mantener el acceso para futuros esquemas de piratería informática y extorsión. El gobierno estadounidense describió este esquema en un aviso de mayo de 2022. Una actualización de dicho aviso, emitida hoy, está disponible aquí.
Ciertos trabajadores de TI de la RPDC diseñaron los 17 dominios de sitios web confiscados ayer para que parecieran dominios de empresas legítimas de servicios de TI con sede en EE. UU., lo que les permitió ocultar su verdadera identidad y ubicación al solicitar trabajo remoto en línea para empresas estadounidenses y de otros países. En realidad, este grupo específico de trabajadores de TI de la RPDC, que trabaja para Yanbian Silverstar Network Technology Co. Ltd., con sede en la República Popular China, y Volasys Silver Star, con sede en Rusia, había sido previamente sancionado en 2018 (https://home.treasury.gov/news/press-releases/sm481) por el Departamento del Tesoro. Estos trabajadores de TI canalizaron los ingresos de su trabajo fraudulento a la RPDC mediante el uso de servicios de pago en línea y cuentas bancarias chinas.
Los esfuerzos para contrarrestar la amenaza que representan los trabajadores de TI de la RPDC no se limitan a los del gobierno estadounidense. Desde 2022, Estados Unidos se ha asociado con la República de Corea (ROK) para proporcionar información sobre amenazas relacionadas con la actividad fraudulenta de los trabajadores de TI de la RPDC, que consiste principalmente en miles de indicadores (por ejemplo, direcciones de correo electrónico), a múltiples plataformas de trabajo independiente en línea y servicios de pago con sede en EE. UU. utilizadas por los trabajadores de TI. Estos esfuerzos de intercambio de información incluyen un simposio de mayo de 2023, organizado conjuntamente por el Departamento de Estado de EE. UU. y la ROK, donde representantes de los Estados Unidos y la ROK, y los proveedores, discutieron conjuntamente los esfuerzos para mejorar las asociaciones público-privadas para contrarrestar la amenaza de los trabajadores de TI de la RPDC. Estas empresas privadas informaron posteriormente al gobierno estadounidense que, con esa información sobre amenazas, realizaron investigaciones independientes, mejoraron sus mecanismos de detección de fraude y, según al menos algunos de los proveedores, cerraron miles de cuentas fraudulentas adicionales, no identificadas previamente, utilizadas por los mismos trabajadores de TI de la RPDC.
La Sección de Ciberseguridad de la División de Seguridad Nacional y la Fiscalía de los Estados Unidos para el Distrito Este de Misuri están investigando este caso. La Oficina de Campo del FBI en St. Louis llevó a cabo la investigación, con la asistencia de la División de Ciberseguridad del FBI.
Declaración Jurada y Solicitud de Embargo - $397 mil ;
Declaración Jurada y Solicitud de Embargo - 12 Nombres de Dominio
Declaración Jurada y Solicitud de Embargo - $1.1 millones ;
Declaración Jurada y Solicitud de Incautación - 5 Nombres de Dominio;
Actualizado el 6 de febrero de 2025