Los trabajadores norcoreanos de tecnologías de la información (TI) que obtienen empleo con identidades falsas en empresas occidentales no sólo están robando propiedad intelectual, sino que también intensifican sus esfuerzos exigiendo rescates para no revelarla, lo que marca un nuevo punto de inflexión en sus ataques motivados por motivos financieros. razones.
“En algunos casos, los trabajadores fraudulentos exigieron pagos de rescate a sus antiguos empleadores después de obtener acceso privilegiado, una táctica que no se había visto en programas anteriores”, dijo la Unidad Contra Amenazas (CTU) de Secureworks. dicho en un análisis publicado esta semana. “En un caso, un contratista extrajo datos de propiedad casi inmediatamente después de comenzar a trabajar a mediados de 2024. »
Esta actividad, añadió la empresa de ciberseguridad, comparte similitudes con un grupo de amenazas que rastrea con el nombre de Nickel Tapestry, también conocido como Famous Chollima y UNC5267.
El plan fraudulento de las empresas de TI, orquestado para promover los intereses estratégicos y financieros de Corea del Norte, se refiere a una operación de amenaza interna que implica la infiltración de empresas en Occidente para generar ingresos ilícitos para el país afectado por las sanciones.
Estos trabajadores norcoreanos suelen ser enviados a países como China y Rusia, desde donde se hacen pasar por trabajadores autónomos en busca de posibles oportunidades laborales. Como otra opción, también se ha descubierto que roban las identidades de personas legítimas que residen en Estados Unidos para lograr los mismos objetivos.
También se sabe que solicitan cambios en las direcciones de envío de las computadoras portátiles proporcionadas por la empresa, a menudo redireccionándolas a intermediarios en las granjas de computadoras portátiles, a quienes les pagan por sus esfuerzos facilitadores extranjeros y son responsables de instalar software de escritorio remoto que permite a los actores norcoreanos conectarse. a las computadoras.
Además, la misma empresa podría terminar contratando a varios contratistas o, alternativamente, una persona podría asumir varias personas.
Secureworks dijo que también observó casos en los que contratistas falsos solicitaron permiso para usar sus propias computadoras portátiles personales e incluso engañaron a las organizaciones para que cancelaran el envío de la computadora portátil por completo porque habían cambiado la dirección de entrega durante el transporte.
“Este comportamiento se alinea con la estrategia de Nickel Tapestry de intentar evitar las computadoras portátiles corporativas, eliminando potencialmente la necesidad de un facilitador en el país y limitando el acceso a la evidencia forense”, declaró. “Esta táctica permite a los contratistas utilizar sus computadoras portátiles personales para acceder de forma remota a la red de la organización”.
En una señal de que los actores de amenazas están evolucionando y llevando sus negocios al siguiente nivel, ha surgido evidencia que muestra cómo un contratista cuyo trabajo fue despedido por una empresa anónima por mal desempeño recurrió al envío de correos electrónicos de extorsión que incluían archivos adjuntos ZIP que contenían pruebas de robo. datos.
“Este cambio altera significativamente el perfil de riesgo asociado con la contratación inadvertida de profesionales de TI norcoreanos”, dijo en un comunicado Rafe Pilling, director de inteligencia de amenazas de Secureworks CTU. “Ya no solo buscan un cheque de pago regular, sino que buscan sumas mayores, más rápido, mediante el robo de datos y la extorsión, dentro de las defensas de la empresa”.
Para hacer frente a esta amenaza, se ha instado a las organizaciones a estar alerta durante el proceso de contratación, lo que incluye realizar controles de identidad exhaustivos, realizar entrevistas en persona o por vídeo y estar atentos a los intentos de desviar el equipo de TI empresarial enviado a subcontratistas declarados. dirección particular, enviar cheques de pago a servicios de transferencia de dinero y acceder a la red de la empresa con herramientas de acceso remoto no autorizadas.
“Esta escalada y los comportamientos enumerados en la alerta del FBI demuestran la naturaleza calculada de estos esquemas”, dijo Secureworks CTU, destacando el comportamiento financiero sospechoso de los trabajadores y sus intentos de evitar encender el video durante las llamadas.
“La aparición de demandas de rescate marca un cambio notable con respecto a los esquemas anteriores de Nickel Tapestry. Sin embargo, la actividad observada antes de la extorsión se alinea con esquemas anteriores que involucraban a trabajadores norcoreanos”.