Se informa que Corea del Norte ha estado reclutando freelancers para usar sus identidades y asegurar roles en TI, un cambio de estrategia respecto al método anterior de usar identificaciones fabricadas para obtener roles remotos. Esta estrategia ahora incluye contacto directo con potenciales freelancers en plataformas de reclutamiento como Upwork, Freelancer y GitHub, trasladando la conversación a Telegram o Discord. Allí, los freelancers son asistidos para configurar herramientas de acceso remoto y verificar sus identidades.
Identidades Proxy en Operaciones de TI
Heiner Garcia, un experto en inteligencia de amenazas cibernéticas en Telefónica e investigador de seguridad en blockchain, reveló que los operativos norcoreanos ahora evitan los obstáculos de verificación trabajando con usuarios legítimos que ofrecen acceso remoto a sus sistemas. Curiosamente, estos usuarios solo obtienen el 20% de las ganancias, el resto se redirige a los operativos a través de criptomonedas o cuentas bancarias regulares.
Al explotar identidades reales y conexiones locales a internet, estos operativos de TI están eludiendo eficientemente mecanismos diseñados para señalar ciertas geografías como de alto riesgo e identificar el uso de VPNs. Esta actualización en tácticas ilustra un cambio significativo en la forma en que los operativos de TI de Corea del Norte trabajan y muestra una mayor sofisticación para evitar la detección.
Engañando a Freelancers para Tareas Ilegales
A principios de este año, Garcia estableció una compañía falsa de criptomonedas y realizó una entrevista con un operativo norcoreano que supuestamente buscaba un trabajo técnico remoto. El entrevistado afirmó ser japonés pero de repente terminó la llamada cuando se le pidió que se presentara en japonés. Todos estos ejemplos de la vida real apuntan al hecho de que muchas personas son engañadas para actuar como proxies de manera inconsciente para operativos norcoreanos. Creen que están participando en acuerdos normales de subcontratación.
Víctimas y Perpetradores en el Engaño
Los registros de los chats revisados sugieren que estos proxies reclutados en su mayoría no son técnicamente hábiles. Hacen preguntas básicas relacionadas con negocios, no realizan ningún trabajo técnico por sí mismos y dejan que el operativo trabaje y entregue bajo sus nombres. Mientras que muchos parecen ser víctimas ignorantes de la situación, unos pocos muestran conocimiento total de su participación en el esquema.
Matthew Isaac Knoot de Nashville fue arrestado por el Departamento de Justicia de EE.UU. en agosto de 2024 por gestionar una granja de laptops que permitía a los operativos de TI norcoreanos lanzar sus operaciones mientras parecían ser empleados con sede en EE.UU. usando identidades robadas. En un caso idéntico, Christina Marie Chapman en Arizona fue condenada a más de ocho años de prisión por gestionar una operación similar que canalizó más de $17 millones a Corea del Norte.
Ganando un Pie Corporativo
Se informa que Corea del Norte ha estado intentando durante años infiltrar las industrias de tecnología y criptomonedas para generar ingresos y asegurar un pie corporativo fuera de sus fronteras. Esta última estrategia de usar las identidades de los freelancers es solo otro hito evidente en este camino. Estas tareas de TI y el robo de criptomonedas, según las Naciones Unidas, proporcionan financiamiento para los programas de misiles y armas del país.
Más Allá de las Criptomonedas
La investigación de Garcia y los informes subsiguientes sugieren que el uso de identidades de freelancers no está limitado solo al mundo de las criptomonedas. Se extiende a cualquier trabajo al que estos operativos puedan acceder, incluyendo arquitectura, diseño, servicio al cliente, etc. La detección de estos actos nefastos generalmente solo ocurre después de que un comportamiento inusual desencadena mecanismos de detección, solo para que el operativo cambie a una nueva identidad y continúe el ciclo.
Puntos Clave
Por engorroso que parezca, este cambio de identidades complica la atribución y persecución de las personas realmente responsables. Las personas cuyas identidades se utilizan a menudo son engañadas, mientras que la persona real detrás del teclado opera desde otro país y permanece invisible para las plataformas de freelancing y los clientes. La variable clave en todas estas operaciones es la solicitud de instalar software de acceso remoto o permitir que alguien trabaje desde su cuenta verificada; un proceso de contratación legítimo no requeriría el control de su dispositivo o identidad.
