Los trabajadores de tecnología de la información (TI) vinculados a la República Popular Democrática de Corea (RPDC) ahora solicitan empleos remotos utilizando cuentas reales de LinkedIn de personas a las que suplantan, lo que representa una nueva escalada del esquema fraudulento.
Estos perfiles a menudo incluyen correos electrónicos laborales verificados y credenciales de identidad, que los operativos norcoreanos esperan que hagan parecer legítimas sus solicitudes fraudulentas, según Security Alliance (SEAL) en una serie de publicaciones en X.
La amenaza de los trabajadores de TI es una operación de larga duración montada por Corea del Norte, en la que operativos del país se hacen pasar por trabajadores remotos para conseguir empleos en empresas occidentales y otras bajo identidades robadas o falsificadas. Esta amenaza también es rastreada por la comunidad de ciberseguridad bajo los nombres Jasper Sleet, PurpleDelta y Wagemole.
El objetivo final de estos esfuerzos es doble: generar un flujo constante de ingresos para financiar los programas de armas del país, realizar espionaje robando datos sensibles y, en algunos casos, exigir rescates para evitar la filtración de la información.
El mes pasado, la empresa de ciberseguridad Silent Push describió el programa de trabajadores remotos de la RPDC como un "motor de ingresos de alto volumen" para el régimen, que permite a los actores de amenazas obtener acceso administrativo a códigos fuente sensibles y establecer persistencia dentro de la infraestructura corporativa.
Una vez que se pagan sus salarios, los trabajadores de TI de la RPDC transfieren criptomonedas a través de diversas técnicas de lavado de dinero, señaló la firma de análisis blockchain Chainalysis en un informe publicado en octubre de 2025.
"Una de las formas en que los trabajadores de TI, así como sus contrapartes de lavado de dinero, rompen el vínculo entre el origen y el destino de los fondos en la cadena es a través del 'chain-hopping' y/o el intercambio de tokens. Aprovechan contratos inteligentes como intercambios descentralizados y protocolos puente para complicar el rastreo de los fondos", agregó Chainalysis.
Para contrarrestar la amenaza, se recomienda a las personas que sospechen que sus identidades están siendo utilizadas en solicitudes de empleo fraudulentas que publiquen una advertencia en sus redes sociales, junto con sus canales de comunicación oficiales y el método de verificación para contactarlos (por ejemplo, correo electrónico de la empresa).
Siempre verifique que las cuentas listadas por los candidatos estén controladas por el correo electrónico que proporcionan. Verificaciones simples como pedirles que se conecten con usted en LinkedIn confirmarán su propiedad y control de la cuenta, dijo Security Alliance.
La revelación se produce mientras el Servicio de Seguridad Policial de Noruega (PST) emitió un aviso en el que afirma tener conocimiento de "varios casos" en el último año en los que empresas noruegas se han visto afectadas por esquemas de trabajadores de TI.
Las empresas han sido engañadas para contratar a lo que probablemente son trabajadores de TI norcoreanos en puestos de oficina en casa, declaró el PST la semana pasada. El salario que los empleados norcoreanos reciben a través de dichos puestos probablemente financia el programa de armas y armas nucleares del país.
Paralelamente al esquema de trabajadores de TI, existe otra campaña de ingeniería social denominada Contagious Interview, que utiliza flujos de contratación falsos para atraer a posibles objetivos a entrevistas después de contactarlos en LinkedIn con ofertas de trabajo. La fase maliciosa del ataque comienza cuando individuos que se presentan como reclutadores y gerentes de contratación instruyen a los objetivos para completar una evaluación de habilidades que finalmente los lleva a ejecutar código malicioso.
En un caso de una campaña de suplantación de reclutadores dirigida a trabajadores tecnológicos utilizando un proceso de contratación similar al de la empresa de infraestructura de activos digitales Fireblocks, se dice que los actores de amenazas pidieron a los candidatos que clonaran un repositorio de GitHub y ejecutaran comandos para instalar un paquete npm que desencadenara la ejecución de malware.
La campaña también empleó EtherHiding, una técnica novedosa que aprovecha contratos inteligentes de blockchain para alojar y recuperar infraestructura de comando y control, haciendo que la carga maliciosa sea más resistente a la eliminación, dijo el investigador de seguridad Ori Hershko. Estos pasos desencadenaron la ejecución de código malicioso oculto dentro del proyecto. La ejecución del proceso de instalación resultó en la descarga y ejecución de malware en el sistema de la víctima, dándoles a los atacantes un punto de apoyo en la máquina de la víctima.
En los últimos meses, se han observado nuevas variantes de la campaña Contagious Interview que utilizan archivos de tareas maliciosos de Microsoft VS Code para ejecutar malware JavaScript disfrazado de fuentes web, que finalmente lleva a la implementación de BeaverTail e InvisibleFerret, permitiendo acceso persistente y robo de carteras de criptomonedas y credenciales de navegador, según informes de Abstract Security y OpenSourceMalware.
Otra variante del conjunto de intrusiones documentado por Panther se sospecha que implica el uso de paquetes npm maliciosos para implementar un marco de trabajo de troyano de acceso remoto (RAT) JavaScript modular denominado Koalemos a través de un cargador. El RAT está diseñado para entrar en un bucle de baliza para recuperar tareas de un servidor externo, ejecutarlas, enviar respuestas cifradas y dormir durante un intervalo de tiempo aleatorio antes de repetir.
El RAT admite 12 comandos diferentes para realizar operaciones del sistema de archivos, transferir archivos, ejecutar instrucciones de descubrimiento (por ejemplo, whoami) y ejecutar código arbitrario. Algunos de los paquetes asociados con la actividad son: env-workflow-test, sra-test-test, sra-testing-test, vg-medallia-digital, vg-ccc-client y vg-dev-env.
El cargador inicial realiza un control de ejecución basado en DNS y una validación de la fecha de participación antes de descargar y ejecutar el módulo RAT como un proceso separado, dijo la investigadora de seguridad Alessandra Rizzo. Koalemos realiza el fingerprinting del sistema, establece comunicaciones de comando y control cifradas y proporciona capacidades completas de acceso remoto.
Labyrinth Chollima se segmenta en unidades operativas especializadas
El desarrollo se produce mientras CrowdStrike reveló que el prolífico grupo de hackers norcoreano conocido como Labyrinth Chollima ha evolucionado en tres grupos separados con objetivos y técnicas distintos: el grupo central Labyrinth Chollima, Golden Chollima (también conocido como AppleJeus, Citrine Sleet y UNC4736) y Pressure Chollima (también conocido como Jade Sleet, TraderTraitor y UNC4899).
Vale la pena señalar que Labyrinth Chollima, junto con Andariel y BlueNoroff, se consideran subgrupos dentro del grupo Lazarus (también conocido como Diamond Sleet y Hidden Cobra), y BlueNoroff se ha dividido en TraderTraitor y CryptoCore (también conocido como Sapphire Sleet), según una evaluación de DTEX.
A pesar de la evolución táctica, estos adversarios continúan compartiendo herramientas e infraestructura, lo que sugiere una coordinación centralizada y asignación de recursos dentro del aparato cibernético de la RPDC. Golden Chollima se enfoca en robos de criptomonedas consistentes a menor escala en regiones económicamente desarrolladas, mientras que Pressure Chollima persigue robos de alto valor con implantes avanzados para apuntar a organizaciones con tenencias significativas de activos digitales.
Por otro lado, las operaciones de Labyrinth Chollima están motivadas por el ciberespionaje, utilizando herramientas como el rootkit FudModule para lograr sigilo. Al actor de amenazas también se le atribuye la Operación Dream Job, otra campaña de ingeniería social centrada en empleos diseñada para distribuir malware para la recopilación de inteligencia.
Elementos de infraestructura compartidos y la polinización cruzada de herramientas indican que estas unidades mantienen una estrecha coordinación, dijo CrowdStrike. Los tres adversarios emplean tácticas notablemente similares, incluyendo compromisos de la cadena de suministro, campañas de ingeniería social con temática de recursos humanos, software legítimo trojanizado y paquetes maliciosos de Node.js y Python.
