Los actores de amenaza de Corea del Norte han desarrollado sus operaciones cibercriminales a una sofisticada campaña de engaño digital que ha desviado con éxito al menos $ 88 millones de USD de las organizaciones de todo el mundo.
Estos agentes, disfrazados de desarrolladores independientes legítimos, personal de TI y contratistas, han explotado el cambio global hacia el trabajo remoto para incrustarse dentro de los flujos de trabajo corporativos confiables.
La campaña representa una escalada significativa en el delito cibernético patrocinado por el estado, financiando directamente los programas de armas ilícitas de Corea del Norte a través de operaciones de varios años cuidadosamente orquestadas.
El panorama de amenazas ha sido alterado fundamentalmente por la capacidad de estos actores para mantener el acceso a largo plazo mientras permanece sin ser detectado. A diferencia de los ataques cibernéticos tradicionales de golpe y fuga, estas operaciones implican una infiltración sostenida donde los actores de amenaza trabajan como empleados aparentemente legítimos durante meses o incluso años.
Su éxito proviene de una preparación meticulosa y el despliegue de herramientas técnicas avanzadas que les permiten operar desde dentro de Corea del Norte mientras parecen trabajar desde lugares en todo el mundo.
Investigadores del equipo de Flashpoint Intel identificado La artesanía sofisticada empleada por estos agentes, revelando un enfoque sistemático para la ofuscación de identidad y la evasión técnica.
Los investigadores descubrieron evidencia de campañas coordinadas que abarcan múltiples continentes, con infraestructura y actividad observadas en Polonia, Nigeria, China, Rusia, Japón y Vietnam.
Este alcance global demuestra la escala y la ambición del programa de infiltración de trabajadores remotos de Corea del Norte.
El impacto financiero se extiende más allá del robo monetario directo, a medida que estos actores obtienen acceso a propiedad intelectual confidencial, código fuente y sistemas corporativos internos.
Las organizaciones, sin saberlo, proporcionan a estos actores de amenaza equipos de la compañía, acceso a la red e información privilegiada, creando una tormenta perfecta tanto para la ganancia financiera inmediata como para la recopilación de inteligencia estratégica a largo plazo.
Mecanismos avanzados de persistencia y control
La sofisticación técnica de los trabajadores remotos de Corea del Norte se centra en su capacidad para mantener el acceso persistente a los sistemas corporativos mientras enmascara su verdadera ubicación e identidad geográfica.
Central para sus operaciones es la implementación de herramientas de acceso remoto especializados que proporcionan múltiples capas de control sobre los sistemas de destino.
Los actores utilizan dispositivos IP-KVM, particularmente hardware PIKVM, que se conecta directamente a máquinas de destino para habilitar el control físico remoto incluso de las computadoras portátiles corporativas más seguras.
Estas soluciones de KVM-Over-IP permiten a los operadores evitar las limitaciones tradicionales de software de escritorio remoto al proporcionar acceso de hardware de bajo nivel equivalente a la presencia física en la máquina.
Los investigadores de Flashpoint descubrieron casos en los que estos servicios IP-KVM se expusieron inadvertidamente en línea durante las intrusiones, revelando el alcance de su implementación.
Los actores complementan este enfoque de hardware con un software de cámara virtual que incluye OBS y ManyCam para simular la presencia de video en vivo durante las reuniones y entrevistas.
Para la ofuscación a nivel de red, los actores de amenaza desplegan herramientas de software norcoreanas patentadas que incluyen NetKey y Oconnect, que facilitan las conexiones cifradas seguras a las redes internas de Corea del Norte.
Estas herramientas funcionan junto con servicios comerciales de VPN como Astrill VPN para crear múltiples capas de enrutamiento de tráfico que hacen que el seguimiento basado en IP sea extremadamente desafiante para los defensores.
La infraestructura de coordinación revela una complejidad técnica adicional, con operadores que usan IP Messenger para Windows para compartir información confidencial y capturas de pantalla dentro de sus equipos.
El control de supervisión se mantiene a través del software “Classroom Spy Pro”, lo que permite a los manejadores de RPDK monitorear las actividades de sus operativos remotos en tiempo real, asegurando que se mantengan los estándares de seguridad operacional y el rendimiento durante las campañas de infiltración extendidas.
Integre cualquiera. Pruebe 50 búsquedas de prueba gratuitas
