Hackers norcoreanos robaron 88 millones de dólares haciéndose pasar por trabajadores tecnológicos estadounidenses

Flashpoint revela cómo hackers norcoreanos usaron identidades falsas para conseguir trabajos remotos de TI en EE. UU., desviando 88 millones de dólares. Descubra cómo usaron identidades y tecnología falsas para cometer el fraude.

Hackers norcoreanos usaron identidades robadas para conseguir trabajos remotos de TI en empresas y organizaciones sin fines de lucro estadounidenses, recaudando al menos 88 millones de dólares en seis años. El Departamento de Justicia de EE. UU. acusó formalmente a catorce ciudadanos norcoreanos el 12 de diciembre de 2024 por su participación. La empresa de seguridad Flashpoint realizó una investigación única, analizando datos de los ordenadores infectados de los hackers para descubrir sus tácticas y obtener detalles exclusivos sobre este plan.

La investigación de Flashpoint reveló el uso de empresas falsas mencionadas en la acusación, como "Baby Box Info", "Helix US" y "Cubix Tech US", para crear currículums creíbles y proporcionar referencias fraudulentas. Los investigadores rastrearon computadoras infectadas, en particular una en Lahore (Pakistán), que contenía credenciales de inicio de sesión para direcciones de correo electrónico asociadas a estas entidades falsas. El nombre de usuario "jsilver617", posiblemente vinculado a una identidad estadounidense falsa, "JS", se encontró en una de estas máquinas, que se utilizó para solicitar numerosos empleos tecnológicos en 2023.

Una prueba crucial fue el uso extensivo del Traductor de Google entre inglés y coreano, hallado en el historial de navegación de un ordenador infectado, lo que insinuó el origen de los hackers. Los mensajes traducidos expusieron sus métodos para crear referencias laborales falsas, incluyendo incluso información de contacto falsa de personas de las empresas fraudulentas. Un mensaje traducido, que se hacía pasar por un gerente de recursos humanos de "Cubix", proporcionaba datos de verificación de empleo falsos.

Comunicaciones posteriores insinuaron una estructura jerárquica dentro de la operación y abordaron cuestiones técnicas, como estrategias para evitar el uso de cámaras web durante las reuniones en línea. La frustración por el bajo rendimiento de un teletrabajador también se hizo evidente en un mensaje traducido que decía: «Es la prueba de que eres un fracaso».

La investigación también reveló conversaciones sobre el envío de dispositivos electrónicos, probablemente computadoras portátiles y teléfonos, para sus entornos de trabajo remoto. Esto coincide con el reciente informe de Hackread.com sobre granjas de computadoras portátiles , donde colaboradores con sede en EE. UU. recibieron dispositivos para acceso remoto por parte de trabajadores norcoreanos, siendo el destacado grupo norcoreano Nickel Tapestry el principal responsable.

En este caso, un mensaje traducido preguntaba por el envío de computadoras portátiles a Nigeria. El historial del navegador reveló números de seguimiento de servicios de mensajería internacional, incluido un envío posiblemente procedente de Dubái.

Traducción proporcionada por Flashpoint:

 We need to make the Abdul's voices heard for a week. After that we can turn off the camera. They are very sensitive to voices. They might not ask Abdul to turn on the video if they don't think there is a difference in thg voices.&op=translate

---

and you know that was same some that we have already summitted your profile, at that time they told that your rate is high and gave offer to another person , but that offer is backout and now they have backfill of it. please let me know if we can submit your profile at $65/hr on C2C/1099. this time prime vendor is different, but client is same.&op=translate

---

I didn't complain when you didn't get the assignment for two months. But this is a different matter. It's proof that you're a failure and if you're like this, you won't be able to handle this job well.&op=translate

La investigación también reveló el uso del software de escritorio remoto AnyDesk en las máquinas infectadas, lo que sugiere que los agentes norcoreanos accedieron remotamente a los sistemas de la empresa estadounidense. Este detalle destaca el acceso directo que obtuvieron a las redes sensibles de la empresa.

“Desde su descubrimiento, las compañías Fortune 500 y las industrias de tecnología y criptomonedas han estado informando que incluso más agentes secretos de la RPDC desvían fondos, propiedad intelectual e información”, reveló la investigación de Flashpoint, compartida con Hackread.com.

La mirada interna de Flashpoint a esta operación, lograda mediante el análisis de credenciales comprometidas y registros de robadores de información, proporciona una comprensión detallada del fraude cibernético sofisticado y rentable de Corea del Norte dirigido a organizaciones estadounidenses.