Nuevo grupo hacker norcoreano sancionado por robos de Cripto en EE. UU.

Puntos Clave:

• El gobierno de EE. UU. acaba de sancionar a dos individuos y cuatro entidades rusas vinculadas a la campaña cibernética de criptomonedas.
• Los operativos de ciberataques norcoreanos están prefiriendo cada vez más la infiltración en lugar del hackeo de fuerza bruta.
• Han sido responsables de miles de millones robados del espacio cripto en múltiples eventos solo este año.

Estados Unidos ha impuesto nuevas sanciones a una nueva operación cibernética respaldada por Corea del Norte. Este grupo supuestamente ha estado utilizando solicitudes de empleo remoto para canalizar fondos de criptomonedas robados hacia el programa de armas nucleares de Kim Jong Un.

Los últimos desarrollos ahora muestran que los ciberataques norcoreanos están escalando de ataques cibernéticos de fuerza bruta a infiltración y robo de fondos desde adentro. Aquí están los detalles.

Infiltración a través del empleo, no solo hacking de crypto

Los ciberataques de Corea del Norte han sido noticia en muchas ocasiones en el pasado por sus dañinos hackeos, incluida la notoriedad de la participación del Grupo Lazarus en algunos de los mayores robos de criptomonedas hasta la fecha.

Sin embargo, según hallazgos recientes del Tesoro de EE. UU. y la firma de análisis de blockchain TRM Labs, el régimen ahora está invirtiendo fuertemente en otros métodos. Uno de los más preocupantes de estos es el uso de trabajadores de TI altamente calificados que se hacen pasar por contratistas remotos.

Estos contratistas se utilizan para asegurar empleo en empresas de blockchain y criptomonedas con sede en EE. UU. y no solo roban datos:

En cambio, se hacen pasar por empleados reales asumiendo las identidades de ciudadanos estadounidenses. Explotan el acceso a la empresa, plantan malware y recogen salarios que son canalizados de vuelta al gobierno norcoreano.

Según informes, su trabajo abarca sectores que incluyen software empresarial, aplicaciones de salud y fitness, redes sociales, deportes, entretenimiento e intercambios de criptomonedas.

Objetivo de Sanciones: Individuos y Empresas de Fachada

El 8 de julio, la Oficina de Control de Activos Extranjeros del Departamento del Tesoro de EE. UU. (OFAC) anunció sanciones contra dos individuos y cuatro entidades rusas vinculadas a la campaña cibernética de criptomonedas.

Entre los mencionados estaba Song Kum Hyok, un operativo norcoreano y miembro del grupo de hackers Andariel. Para contextualizar, el grupo de hackers Andariel es parte de la ala de inteligencia militar de Kim Jong Un conocida como la Oficina General de Reconocimiento.

Song es acusado de ser el mastermind de una masiva campaña de robo de identidad desde 2022. Luego, robó nombres, números de Seguro Social y otra información personal de ciudadanos estadounidenses.

Estas identidades robadas se utilizaron para disfrazar a los trabajadores de TI norcoreanos como verdaderos solicitantes de empleo.

Los trabajadores, una vez contratados, compartirían los ingresos con Song y otros operativos. En algunos casos, incluso llegarían a insertar malware en los sistemas de la empresa.

Otro individuo sancionado fue Gayk Asatryan, un ciudadano ruso que supuestamente firmó un acuerdo de 10 años con empresas comerciales norcoreanas en 2024.

Él formó una red bajo este acuerdo. Se llamaba "Red de Trabajadores de TI Asatryan" y albergaría hasta 30 especialistas en TI norcoreanos en Rusia. Los ayudó con varias tareas, incluyendo ayudarlos a conseguir trabajos en empresas tecnológicas occidentales.

Hasta ahora, las cuatro personas sancionadas vinculadas a Asatryan están ahora prohibidas de acceder a cualquier activo dentro de los EE. UU. También enfrentan penas criminales por cualquier transacción en curso o futura con empresas estadounidenses.

Todo para financiar armas de destrucción masiva

Los funcionarios estadounidenses creen que el objetivo final de este esquema de piratería cibernética que se ha extendido por años es apoyar el desarrollo de armas de Corea del Norte. El subsecretario del Tesoro, Michael Faulkender, declaró que miles de trabajadores de TI norcoreanos, la mayoría estacionados en Rusia y China, están atacando activamente a empresas de criptomonedas en naciones más ricas.

Sus ingresos, a menudo obtenidos bajo identidades falsas, son canalizados de vuelta al régimen para pagar su arsenal y ojivas nucleares.

“El régimen Kim está decidido a evadir las sanciones utilizando todas las lagunas digitales que pueda encontrar,” enfatizó Faulkender. “Desde el robo de activos digitales hasta aplicaciones de trabajo falsas, sus tácticas están evolucionando. Estamos utilizando todas las herramientas disponibles para interrumpir estas redes.”

Pérdidas Masivas en el Sector Cripto

Si bien los hacks a los intercambios siguen siendo un riesgo, otras estrategias como la infiltración de trabajadores de TI están siendo cada vez más preferidas. Esto se debe a su menor visibilidad y alto retorno.

De manera similar, el 30 de junio, cuatro ciudadanos norcoreanos fueron acusados de fraude electrónico y lavado de dinero. Esto es después de supuestamente hacerse pasar por trabajadores remotos en empresas de blockchain en los EE. UU. y Serbia.

El 5 de junio, el DOJ se movió para incautar $7.74 millones en criptomonedas congeladas vinculadas a trabajadores de TI norcoreanos. Según el FBI, toda la operación de generación de dinero podría valer cientos de millones de dólares. Esto se debe a que los fondos están siendo enviados al régimen a través de Rusia, China e incluso EE. UU.