Trabajadores de TI Norcoreanos se Infiltraron en Proyectos Europeos Basados en Solana: Google

Los proyectos comprometidos incluyen blockchain, marketplaces, aplicaciones web de IA y el desarrollo de Solana y contratos inteligentes (smart contracts) de Anchor/Rust.

Un caso involucró la construcción de una plataforma de alojamiento de tokens Nodexa utilizando Next.js y CosmosSDK, mientras que otros incluyeron un marketplace de empleos blockchain construido con el stack MERN y Solana, y el desarrollo de herramientas blockchain mejoradas con IA utilizando Electron y Tailwind CSS.

“En respuesta a la mayor concienciación sobre la amenaza dentro de Estados Unidos, han establecido un ecosistema global de identidades fraudulentas para mejorar la agilidad operativa”, dijo el asesor de GTIG Jamie Collier en el informe.

Algunos trabajadores operaban bajo 12 identidades falsas a la vez, utilizando títulos de la Universidad de Belgrado, documentos falsos de residencia de Eslovaquia y orientación para navegar por plataformas de empleo europeas, señaló el informe.

Collier dijo que facilitadores basados en el Reino Unido y EE.UU. ayudaron a estos actores a eludir las verificaciones de identidad y recibir pagos a través de TransferWise, Payoneer y criptomonedas, ocultando efectivamente el origen de los fondos que fluyen de vuelta al régimen norcoreano.

GTIG informa que los trabajadores están generando ingresos para el régimen norcoreano, al que enviados de EE.UU., Japón y Corea del Sur han acusado previamente de utilizar especialistas en TI en el extranjero, incluidos aquellos involucrados en actividades cibernéticas maliciosas, para ayudar a financiar sus programas de armas sancionados.

“Esto pone a las organizaciones que contratan a trabajadores de TI de la RPDC en riesgo de espionaje, robo de datos e interrupción”, advirtió Collier.

Amenazas de extorsión

Desde octubre de 2024, GTIG observó un aumento en las amenazas de extorsión, ya que los desarrolladores de la RPDC despedidos han comenzado a chantajear a antiguos empleadores con amenazas de filtrar código fuente y archivos propietarios.

Este aumento de la agresión, señaló GTIG, coincide con “acciones intensificadas de las fuerzas del orden de Estados Unidos contra trabajadores de TI de la RPDC, incluidas interrupciones y acusaciones”.

En diciembre pasado, la Oficina de Control de Activos Extranjeros (OFAC) del Tesoro de EE.UU. sancionó a dos ciudadanos chinos por lavar activos digitales para financiar al gobierno de Corea del Norte, utilizando una empresa fantasma con sede en los EAU vinculada al régimen de Pyongyang.

Luego, en enero, el Departamento de Justicia acusó a dos ciudadanos norcoreanos por operar un esquema fraudulento de trabajo en TI que infiltró al menos 64 empresas estadounidenses entre 2018 y 2024.

Más allá del Grupo Lazarus

En marzo, el investigador de seguridad de Paradigm, Samczsun, advirtió que la estrategia cibernética de la RPDC va mucho más allá del Grupo Lazarus respaldado por el Estado, que ha sido vinculado a algunos de los mayores hackeos de criptomonedas de la historia.

“Los hackers de la RPDC son una amenaza cada vez mayor contra nuestra industria”, escribió Samczsun, describiendo una red de subgrupos como TraderTraitor y AppleJeus, que se especializan en ingeniería social, ofertas de trabajo falsas y ataques a la cadena de suministro.

En febrero, hackers vinculados a Lazarus robaron $1.400 millones del exchange de criptomonedas Bybit, y los fondos fueron posteriormente canalizados a través de mezcladores de monedas y DEX.

A medida que la industria de las criptomonedas depende en gran medida del talento remoto y los entornos “trae tu propio dispositivo” (BYOD), GTIG advirtió que muchas startups carecen de herramientas de monitoreo adecuadas para detectar tales amenazas.

Y ese, según Collier, es exactamente el punto: Corea del Norte está explotando “la rápida formación de una infraestructura global y una red de apoyo que potencia sus operaciones continuas”.