Khasan, situada a solo una milla de la frontera, y Khabarovsk, con notorias relaciones con Corea del Norte, aparecen como centros operativos ideales para estas campañas cibernéticas. Según el análisis de Trend Micro, se ha evidenciado que Corea del Norte ha desplazado trabajadores de TI hacia estas regiones, utilizando direcciones IP rusas para realizar diversas actividades que van desde la interacción en sitios de empleo hasta el acceso a servicios de criptomonedas.
Se ha detectado que estos trabajadores, en su mayoría aliados de Corea del Norte, utilizan servidores VPS a través de conexiones RDP (Remote Desktop Protocol) para ejecutar tareas diversas. Entre estas, destaca el uso de técnicas de fuerza bruta para descifrar contraseñas de billeteras de criptomonedas, y la creación de contenido instructivo que sugiere colaboración con conspiradores extranjeros.
Las tácticas de ingeniería social empleadas por estos cibercriminales han implicado atraer a profesionales de TI en países como Ucrania, EE. UU. y Alemania mediante ofertas laborales fraudulentas de empresas ficticias. Estas campañas, en su mayoría centradas en el robo de criptomonedas, se enfocan en desarrolladores interesados en tecnologías emergentes como Web3 y blockchain.
El acceso limitado a Internet en Corea del Norte, con solo 1,024 direcciones IP asignadas a todo el país, contrasta con la magnitud de las operaciones cibernéticas atribuidas a sus actores maliciosos. Para superar las restricciones internas, se ha recurrido a emplear trabajadores en el extranjero, así como el uso de amplias redes de anonimización que dificultan la atribución de ataques. Este proceso permite que las operaciones maliciosas sean enmascaradas detrás de capas de VPN, proxies y sesiones RDP, ofreciendo a los atacantes el anonimato necesario para llevar a cabo sus actividades ilícitas.
Una de las entidades ficticias que se han utilizado en estas tácticas es Blocknovas, la cual tiene un sitio web elaborado y una presencia activa en plataformas de reclutamiento. Esta empresa falsa ha realizado campañas dirigidas a captar talento en el ámbito tecnológico, utilizando ofertas de empleo que, si bien aparentan ser legítimas, son meras tramas para infectar a los solicitantes con malware. Estos desarrolladores, atraídos por promesas de empleo, son a menudo inducidos a descargar y ejecutar código malicioso que podría comprometer sus sistemas y permitir el acceso al robo de datos sensibles.
La investigación ha revelado que los perfiles de los supuestos empleados de Blocknovas han sido creados con apariencia genuina, donde incluso se han utilizado técnicas de inteligencia artificial para el desarrollo de personas en línea. Esta sofisticación ha hecho que muchos solicitantes bajen la guardia, creyendo en la credibilidad de las ofertas laborales.
El estudio también ha indicado que la actividad delictiva en torno a estas direcciones IP rusas ha incrementado desde 2017, alcanzando niveles más elevados en 2023. Esta situación sugiere una infraestructura cada vez más sólida que respalda las operaciones de ciberataques que están alineadas con los intereses de Corea del Norte. En resumen, el claro patrón de uso de estas direcciones IP junto con técnicas de engaño y cibercriminalidad destacan cómo las dinámicas delictivas en el ciberespacio pueden entrelazarse a nivel internacional, planteando un desafío significativo tanto para las empresas como para las agencias de seguridad en todo el mundo.
Enlace de la fuente, haz clic para tener más información