El Área de Ecuanimidad de los Estados Unidos (DOJ) dijo que ha presentado una queja de comiso civil en un tribunal federal que se dirige a más de $ 7.74 millones en criptomonedas, tokens no fungibles (NFT) y otros activos digitales presuntamente vinculados a un esquema total de trabajadores de TI orquestados por Corea del Finalidad.
«Durante abriles, Corea del Finalidad ha explotado los ecosistemas de contratación de TI y criptomonedas globales para escamotear las sanciones de los Estados Unidos y financiar sus programas de armas», dijo Sue J. Bai, cabecilla de la División de Seguridad Franquista del Área de Ecuanimidad.
El Área de Ecuanimidad dijo que los fondos se restringieron originalmente en relación con una cargo de abril de 2023 contra Sim Hyon-Sop, un representante del Tira de Comercio Foráneo de Corea del Finalidad (FTB) que se cree que conspiró con los trabajadores de TI.
Los trabajadores de TI, agregó el unidad, obtuvieron empleo en las compañías de criptomonedas estadounidenses que usan identidades falsas y luego lavaron sus ganancias obtenidas a través de SIM a los objetivos estratégicos de Pyongyang en violación de las sanciones impuestas por la Oficina de Control de Activos Extranjeros de los Estados Unidos (OFAC) y las Naciones Unidas.
El esquema fraudulento se ha convertido en una operación masiva desde sus orígenes en 2017. La operación ilegal de empleo aprovecha una combinación de identidades robadas y ficticias, ayudadas con la ayuda de herramientas de inteligencia fabricado (IA) como OpenAI Chatgpt, para evitar los controles de diligencia debida y los empleos seguros de Freelance.
Seguimiento de los apodos Wagmole y UNC5267, se evalúa la actividad que está afiliada al Partido de los Trabajadores de Corea y se considera una táctica metódicamente diseñada para empotrar a los trabajadores de IT en el interior de las compañías legítimas para difundir una fuente constante de ingresos para Corea del Finalidad.
Adicionalmente de tergiversar identidades y ubicaciones, un aspecto central de la operación implica enganchar facilitadores para ejecutar granjas portátiles en todo el mundo, permitir etapas de entrevistas de video, así como purificar las ganancias a través de varias cuentas.
Uno de esos facilitadores de la huevería de computadoras portátiles fue Christina Marie Chapman, quien se declaró culpable a principios de febrero por su décimo en el esquema de regeneración de ingresos ilícitos. En un mensaje publicado el mes pasado, el Wall Street Journal reveló cómo un mensaje de LinkedIn en marzo de 2020 Drew Chapman, una ex camarera y terapeuta de frotación con más de 100,000 seguidores en Tiktok, en la intrincada estafa. Está programada para ser sentenciada el 16 de julio.
«Luego de purificar estos fondos, los trabajadores de TI de Corea del Finalidad supuestamente los enviaron de regreso al gobierno de Corea del Finalidad, a veces a través de Sim y Kim Sang Man», dijo el Área de Ecuanimidad. «Kim es un ciudadano norcoreano que es el director ejecutor de ‘Chinyong’, asimismo conocido como ‘Compañía de cooperación de IT Jinyong'».
Un estudio de la billetera de criptomonedas de Sim por TRM Labs ha revelado que ha recibido más de $ 24 millones en criptomonedas desde agosto de 2021 hasta marzo de 2023.
 |
| Evaluación organizacional de Corea del Finalidad |
«La mayoría de estos fondos se remontan a las cuentas de Kim, que se abrieron utilizando documentos de identidad rusos falsificados y se accede desde dispositivos en idioma coreano que operan desde los EAU y Rusia», dijo TRM Labs. «Sim, un funcionario norcoreano, operaba desde Dubai y mantuvo una billetera autohospedada que recibió fondos lavados de docenas de fuentes».
Kim, de su pulvínulo en Vladivostok, Rusia, actuó como intermediario entre los trabajadores de TI y FTB, utilizando dos cuentas para compendiar fondos de ellos y redistribuir los ingresos a SIM y otras billeteras conectadas a Corea del Finalidad.
La compañía de ciberseguridad DTEX ha caracterizado la amenaza de los trabajadores de TI como un sindicato de delincuencia patrocinado por el estado que está orientado principalmente a la distracción de sanciones y generando ganancias, con la amenaza que los actores cambian gradualmente de las granjas de las computadoras portátiles a usar sus propias máquinas como parte de las políticas de traer su propio dispositivo (BYOD) de las empresas.
«La oportunidad es efectivamente su única táctica y todo se tráfico como una aparejo de algún tipo», dijo Michael Barnhart, investigador de riesgos I3 Insider de DTEX I3 en DTEX Systems, a The Hacker News.
«Si el enfoque se centra en las granjas portátiles, lo que ha sido muy bueno para expresar esa palabra, entonces, lógicamente, esta nación oportunista quiere cimentarse a donde el camino es mucho más posible si está afectando las operaciones. Hasta que las granjas de las computadoras portátiles ya no son efectivas en invariable, entonces eso aún será una opción, pero el demasía de Byod era poco que DTEX había manido en las investigaciones y no se publicitó como lo fueron las granjas».
DTEX señaló adicionalmente que estos trabajadores de TI podrían caer en cualquiera de las dos categorías: Trabajadores de TI de ingresos (R-ITW) o trabajadores de TI maliciosos (M-ITW), cada uno de los cuales tiene su propia función en el interior de la estructura cibernética de Corea del Finalidad.
Si perfectamente se dice que el personal de R-ITW es menos privilegiado y principalmente motivado para obtener pasta para el régimen, los actores de M-ITW van más allá de la gestación de ingresos extorsionando a un cliente de víctima, saboteando un servidor de criptomonedas, robando una valiosa propiedad intelectual o ejecutando código desconfiado en un entorno.
Chinyong, según la empresa de diligencia de riesgos internos, es una de las muchas compañías de TI que ha implementado a sus trabajadores en una combinación de trabajo independiente de TI y robo de criptomonedas al emplear su ataque interno a proyectos de blockchain. Opera desde China, Laos y Rusia.
Dos personas asociadas con los esfuerzos de trabajadores de TI relacionados con Chinyong han sido desenmascarados por tener usado a las personas Naoki Murano y Jenson Collins para percibir fondos para Corea del Finalidad, con Murano previamente vinculado a un atraco de $ 6 millones en la firma criptogrima Deltaprime en septiembre de 2024.
«En última instancia, la detección de granjas portátiles unidas a la RPDC y esquemas de trabajadores remotos requiere que los defensores miren más allá de los indicadores tradicionales de compromiso y comiencen a hacer diferentes preguntas, sobre la infraestructura, el comportamiento y el ataque», dijo el investigador de seguridad Matt Ryan. «Estas campañas no se tratan solo de malware o phishing; se tratan de disimulo a escalera, a menudo ejecutadas de modo que se mezclan sin problemas con el trabajo remoto auténtico».
Una maduro investigación sobre el extenso fraude multimillonario ha descubierto varias cuentas vinculadas a dominios falsos establecidos para las diversas compañías delanteras utilizadas para proporcionar referencias falsas a los trabajadores de TI. Estas cuentas se infectaron con malware de robo de información, señaló Flashpoint, lo que le permite marcar algunos aspectos de su artesanía.
La compañía dijo que identificó un hospedador comprometido situado en Lahore, Pakistán, que contenía una credencial guardada para una cuenta de correo electrónico que se utilizó como punto de contacto al registrar los dominios asociados con la información de la caja de bebés, Helix US y Cubix Tech US.
Adicionalmente de eso, el historial del navegador capturado por el malware del robador en otro caso ha capturado las URL de traductor de Google relacionadas con docenas de traducciones entre inglés y coreano, incluidos los relacionados con el proporcionar referencias de trabajo falsificadas y los dispositivos electrónicos de pedido.
Eso no es todo. Investigaciones recientes asimismo han puesto al descubierto un «sistema encubierto de control remoto de múltiples capas» utilizado por los trabajadores de TI de Corea del Finalidad para establecer un ataque persistente a las computadoras portátiles emitidas por la compañía en una huevería de computadoras portátiles mientras se ubican físicamente en Asia.
«La operación aprovechó una combinación de señalización de protocolo de bajo nivel y herramientas de colaboración legítimas para surtir el ataque remoto y habilitar la visibilidad y el control de los datos utilizando el teleobjetivo», dijo Sygnia en un mensaje publicado en abril de 2025. «La condena de ataque (…) involucró el demasía de los paquetes ARP para activar acciones basadas en eventos basados en WebSocket (C2).
«Para mejorar aún más el sigilo y la automatización, se requirieron configuraciones específicas del cliente de teleobjetivo. Las configuraciones se ajustaron meticulosamente para evitar que los indicadores orientados al beneficiario y las perturbaciones audiovisuales. Los usuarios se registraron persistentemente, el video y el audio se silenciaron automáticamente al unirse, los nombres de los participantes se ocultaron, compartiendo la pantalla iniciadas sin indicadores visibles y Windows previamente sin cuestación».
Valer complementario a Wagemole es otra campaña denominada entrevista contagiosa (asimismo conocida como DeceptedEgranment, famosa Chollima, Gwisin Gang, Tenacious Pungsan, UNC5342 y Void Dokkaebi) que realiza principalmente actividades maliciosas que dirigen a los desarrolladores a obtener la compañía no pasada de ataque como opuesto a obtener el empleo.
«Gwisin Gang Francamente son trabajadores de TI que, en punto de tomar el espléndido proceso de solicitar un trabajo, se dirigen a algún que ya tenía el trabajo», dijo Barnhart. «Parecen elevados y únicos en el sentido de que tienen un uso de malware que asimismo hace eco de esta concepto. Sin confiscación, los trabajadores de TI son un término militar y hay muchos estilos, variedades y niveles de sagacidad entre ellos».
En cuanto a cómo el esquema de trabajadores de TI podría progresar en los próximos abriles, Barnhart señala al sector financiero tradicional como objetivo.
«Con la implementación de las tecnologías blockchain y Web3 en las instituciones financieras tradicionales, creo que todos los activos cibernéticos de la RPDC en ese espacio tendrán como objetivo que estas empresas estuvieran de la modo en que sucedió en abriles pasados», señaló Barnhart. «Cuanto más nos integramos con esas tecnologías, más cuidadoso debemos ser ya que la RPDC está muy arraigada».
