Skip to Content
logologo
AI Incident Database
Open TwitterOpen RSS FeedOpen FacebookOpen LinkedInOpen GitHub
Open Menu
Descubrir
Enviar
  • Bienvenido a la AIID
  • Descubrir Incidentes
  • Vista espacial
  • Vista Tabular
  • Vista de lista
  • Entidades
  • Taxonomías
  • Enviar Informes de Incidentes
  • Ranking de Reportadores
  • Blog
  • Resumen de noticias de IA
  • Control de Riesgos
  • Incidente aleatorio
  • Registrarse
Colapsar
Descubrir
Enviar
  • Bienvenido a la AIID
  • Descubrir Incidentes
  • Vista espacial
  • Vista Tabular
  • Vista de lista
  • Entidades
  • Taxonomías
  • Enviar Informes de Incidentes
  • Ranking de Reportadores
  • Blog
  • Resumen de noticias de IA
  • Control de Riesgos
  • Incidente aleatorio
  • Registrarse
Colapsar

Problema 5389

Incidentes Asociados

Incidente 111837 Reportes
Ongoing Purported AI-Assisted Identity Fraud Enables Unauthorized Access to Western Companies by North Korean IT Workers

EE. UU. incauta 7,74 millones de dólares en criptomonedas vinculadas a la red global de falsos trabajadores informáticos de Corea del Norte.
thehackernews.com · 2025

El Departamento de Justicia de EE. UU. (DoJ) anunció la presentación de una demanda de decomiso civil ante un tribunal federal que afecta a más de 7,74 millones de dólares en criptomonedas, tokens no fungibles (NFT) y otros activos digitales, presuntamente vinculados a una trama global de trabajadores de TI orquestada por Corea del Norte.

"Durante años, Corea del Norte ha explotado los ecosistemas globales de contratación remota de TI y criptomonedas para evadir las sanciones estadounidenses y financiar sus programas de armas", declaró Sue J. Bai, jefa de la División de Seguridad Nacional del Departamento de Justicia. El Departamento de Justicia declaró que los fondos fueron inicialmente restringidos en relación con una acusación formal de abril de 2023 contra Sim Hyon-Sop, representante del Banco de Comercio Exterior de Corea del Norte (FTB), quien se cree que conspiró con los trabajadores de TI.

Los trabajadores de TI, añadió el departamento, consiguieron empleo en empresas estadounidenses de criptomonedas utilizando identidades falsas y luego blanquearon sus ganancias ilícitas a través de Sim para promover los objetivos estratégicos de Pyongyang, violando las sanciones impuestas por la Oficina de Control de Activos Extranjeros (OFAC) del Tesoro de Estados Unidos y las Naciones Unidas.

El esquema fraudulento se ha convertido en una operación masiva desde sus orígenes en 2017. Esta operación de empleo ilegal se vale de una combinación de identidades robadas y ficticias, con la ayuda de herramientas de inteligencia artificial (IA) como OpenAI ChatGPT, para eludir las comprobaciones de diligencia debida y conseguir trabajos freelance. Rastreada bajo los nombres Wagemole y UNC5267, se considera que esta actividad está afiliada al Partido de los Trabajadores de Corea y se considera una estrategia metódicamente diseñada para infiltrar a trabajadores de TI en empresas legítimas y así generar una fuente constante de ingresos para la República Popular Democrática de Corea (RPDC).

Además de falsear identidades y ubicaciones, un aspecto central de la operación consiste en reclutar facilitadores para gestionar granjas de computadoras portátiles en todo el mundo, habilitar sesiones de entrevistas en vídeo y blanquear las ganancias a través de diversas cuentas.

Una de estas facilitadoras de granjas de computadoras portátiles fue Christina Marie Chapman, quien se declaró culpable a principios de febrero por su participación en el plan de regeneración de ingresos ilícitos. En un informe publicado el mes pasado, The Wall Street Journal reveló cómo un mensaje de LinkedIn en marzo de 2020 atrajo a Chapman, excamarera y masajista con más de 100.000 seguidores en TikTok, a la intrincada estafa. Su sentencia está prevista para el 16 de julio.

"Tras blanquear estos fondos, los trabajadores de TI norcoreanos presuntamente los devolvieron al gobierno norcoreano, en ocasiones a través de Sim y Kim Sang Man", declaró el Departamento de Justicia. "Kim es un ciudadano norcoreano y director ejecutivo de 'Chinyong', también conocida como 'Jinyong IT Cooperation Company'".

Un análisis de la billetera de criptomonedas de Sim realizado por TRM Labs reveló que recibió más de 24 millones de dólares en criptomonedas entre agosto de 2021 y marzo de 2023.

| Norte Evaluación organizacional de Corea

"La mayoría de estos fondos se rastrearon hasta las cuentas de Kim, abiertas con documentos de identidad rusos falsificados y a las que se accedía desde dispositivos en coreano que operaban desde los Emiratos Árabes Unidos y Rusia", declaró TRM Labs (https://www.trmlabs.com/resources/blog/doj-seeks-forfeiture-of-7-7-million-in-cryptocurrency-tied-to-north-korean-it-worker-laundering-network). "Sim, un funcionario norcoreano, operaba desde Dubái y mantenía una billetera electrónica propia que recibía fondos blanqueados de decenas de fuentes".

Kim, desde su base en Vladivostok, Rusia, actuó como intermediario entre los trabajadores de TI y FTB, utilizando dos cuentas para recaudar fondos y redistribuir las ganancias a Sim y a otras billeteras conectadas con Corea del Norte.

La empresa de ciberseguridad DTEX ha caracterizado (https://www.dtexsystems.com/exposing-dprk) la amenaza de los trabajadores de TI como una organización criminal patrocinada por el Estado, cuyo principal objetivo es evadir sanciones y obtener ganancias. Los actores de la amenaza están cambiando gradualmente de las granjas de portátiles al uso de sus propias máquinas como parte de las políticas BYOD (Trae tu Propio Dispositivo) de las empresas.

"La oportunidad es realmente su única táctica y todo se trata como una especie de herramienta", declaró Michael Barnhart, investigador principal de riesgos internos i3 de DTEX Systems, a The Hacker News.

"Si el enfoque está en las granjas de portátiles, lo cual ha sido muy efectivo para difundir el mensaje, entonces, naturalmente, esta nación oportunista querrá gravitar hacia donde el camino sea mucho más fácil si esto afecta las operaciones. Hasta que las granjas de portátiles dejen de ser efectivas, seguirán siendo una opción, pero el abuso de BYOD era algo que DTEX había detectado en las investigaciones y no se difundió tanto como las granjas". DTEX señaló además que estos trabajadores de TI podrían clasificarse en dos categorías: trabajadores de TI de ingresos (R-ITW) o trabajadores de TI maliciosos (M-ITW), cada uno con una función específica dentro de la ciberestructura norcoreana.

Si bien se dice que el personal de R-ITW tiene menos privilegios y su principal motivación es lucrar con el régimen, los actores de M-ITW van más allá de la generación de ingresos, extorsionando a un cliente víctima, saboteando un servidor de criptomonedas, robando propiedad intelectual valiosa o ejecutando código malicioso en un entorno.

Chinyong, según la firma de gestión de riesgos internos, es una de las muchas empresas de TI que ha desplegado a sus trabajadores para realizar una combinación de trabajo independiente de TI y robo de criptomonedas, aprovechando su acceso interno a proyectos blockchain. Opera desde China, Laos y Rusia. Se ha descubierto que dos individuos asociados con las actividades de trabajadores de TI relacionadas con Chinyong utilizaron los perfiles de Naoki Murano y Jenson Collins para recaudar fondos para Corea del Norte. Murano había sido vinculado previamente a un robo de 6 millones de dólares en la empresa de criptomonedas DeltaPrime en septiembre de 2024.

"En última instancia, la detección de granjas de computadoras portátiles y esquemas de trabajo remoto vinculados a la RPDC requiere que los defensores miren más allá de los indicadores tradicionales de vulnerabilidad y comiencen a plantearse preguntas diferentes sobre la infraestructura, el comportamiento y el acceso", declaró el investigador de seguridad Matt Ryan. "Estas campañas no se limitan a malware o phishing; se centran en el engaño a gran escala, a menudo ejecutado de forma que se integra a la perfección con el trabajo remoto legítimo".

Una investigación más profunda sobre el extenso fraude multimillonario ha descubierto varias cuentas vinculadas a dominios falsos creados para las diversas empresas fachada utilizadas para proporcionar referencias falsas a los trabajadores de TI. Estas cuentas estaban infectadas con el malware de robo de información Flashpoint mencionado, lo que le permitió detectar algunos aspectos de su estrategia.

La compañía afirmó haber identificado un host comprometido ubicado en Lahore, Pakistán, que contenía una credencial guardada de una cuenta de correo electrónico utilizada como punto de contacto para registrar los dominios asociados con Baby Box Info, Helix US y Cubix Tech US.

Además, el historial del navegador capturado por el malware ladrón en otro caso ha revelado las URL de Google Translate relacionadas con docenas de traducciones entre inglés y coreano, incluyendo las relacionadas con el suministro de referencias laborales falsificadas y el envío de dispositivos electrónicos.

Y eso no es todo. Investigaciones recientes también han revelado un "sistema de control remoto encubierto y multicapa" utilizado por trabajadores de TI norcoreanos para establecer acceso persistente a computadoras portátiles proporcionadas por la empresa en una granja de computadoras portátiles, mientras se encontraban físicamente en Asia.

"La operación aprovechó una combinación de señalización de protocolo de bajo nivel y herramientas de colaboración legítimas para mantener el acceso remoto y permitir la visibilidad y el control de los datos mediante Zoom", declaró Sygnia en un informe publicado en abril de 2025. "La cadena de ataque [...] implicó el abuso de paquetes ARP para activar acciones basadas en eventos, un canal de comando y control (C2) personalizado basado en WebSocket y la automatización de las funciones de control remoto de Zoom".

Para mejorar aún más la sigilo y la automatización, se requirieron configuraciones específicas del cliente de Zoom. Los ajustes se ajustaron meticulosamente para evitar indicadores visibles y distracciones audiovisuales. Los usuarios iniciaban sesión constantemente, el vídeo y el audio se silenciaban automáticamente al unirse, se ocultaban los nombres de los participantes, se iniciaba la pantalla compartida sin indicadores visibles y se desactivaban las ventanas de vista previa.

Ryan ha teorizado que el sistema de control remoto de Zoom probablemente se utiliza junto con Raspberry Pi Zeros de bajo coste para C2 en la red de área local (LAN) de la granja de portátiles para lograr acceso remoto a gran escala y simular la interacción real del usuario en docenas de dispositivos.

Como complemento a Wagemole, se ejecuta otra campaña denominada Entrevista Contagiosa (también conocidas como DeceptiveDevelopment, Famous Chollima, Gwisin Gang, Tenacious Pungsan, UNC5342 y Void Dokkaebi). Esta campaña realiza principalmente actividad maliciosa dirigida a desarrolladores para obtener acceso no autorizado a la empresa, en lugar de conseguir empleo.

"Francamente, los Gwisin Gang son trabajadores de TI que, en lugar de pasar por el largo proceso de solicitar un empleo, se dirigen a alguien que ya lo tenía", afirmó Barnhart. Parecen ser excepcionales y únicos, ya que su uso de malware también refleja esta idea. Sin embargo, "trabajadores de TI" es un término general, y existen muchos estilos, variedades y niveles de habilidad entre ellos.

En cuanto a cómo podría evolucionar el esquema de los trabajadores de TI en los próximos años, Barnhart señala al sector financiero tradicional como el objetivo.

"Con la implementación de las tecnologías blockchain y Web3 en las instituciones financieras tradicionales, creo que todos los activos cibernéticos de la RPDC en ese sector buscarán una fuga de capitales de estas empresas, como sucedió en años anteriores", señaló Barnhart. "Cuanto más nos integremos con esas tecnologías, más cuidadosos debemos ser, ya que la RPDC está muy arraigada".

Leer la Fuente

Investigación

  • Definición de un “Incidente de IA”
  • Definición de una “Respuesta a incidentes de IA”
  • Hoja de ruta de la base de datos
  • Trabajo relacionado
  • Descargar Base de Datos Completa

Proyecto y Comunidad

  • Acerca de
  • Contactar y Seguir
  • Aplicaciones y resúmenes
  • Guía del editor

Incidencias

  • Todos los incidentes en forma de lista
  • Incidentes marcados
  • Cola de envío
  • Vista de clasificaciones
  • Taxonomías

2024 - AI Incident Database

  • Condiciones de uso
  • Política de privacidad
  • Open twitterOpen githubOpen rssOpen facebookOpen linkedin
  • a9df9cf