Los actores de amenazas con vínculos con la República Popular Democrática de Corea (RPDC) se están haciendo pasar por empresas de consultoría de tecnología y software con sede en Estados Unidos para promover sus objetivos financieros como parte de un esquema más amplio de trabajadores de tecnología de la información (TI).
“Las empresas fachada, a menudo con sede en China, Rusia, el sudeste asiático y África, desempeñan un papel clave a la hora de enmascarar los verdaderos orígenes de los trabajadores y gestionar los pagos”, dijeron los investigadores de seguridad de SentinelOne, Tom Hegel y Dakota Cary, en un informe compartido con The Hacker News. .
La red de trabajadores de TI de Corea del Norte, tanto a título individual como al amparo de empresas fachada, se considera una técnica para evadir las sanciones internacionales impuestas al país y generar ingresos ilícitos.
La campaña global, que también es rastreada como Wagemole por la Unidad 42 de Palo Alto Networks, implica el uso de identidades falsificadas para obtener empleo en varias empresas en los EE. UU. y otros lugares, y enviar una gran parte de sus salarios al Reino Ermitaño en un intento. para financiar sus programas de armas de destrucción masiva (ADM) y misiles balísticos.
En octubre de 2023, el gobierno de EE. UU. dijo que había confiscado 17 sitios web que se hacían pasar por empresas de servicios de TI con sede en EE. UU. para defraudar a empresas en el país y en el extranjero al permitir que los trabajadores de TI de Corea del Norte ocultaran sus verdaderas identidades y ubicación cuando solicitaban en línea realizar trabajos remotos. trabajar.
Se descubrió que los trabajadores de TI trabajaban para dos empresas con sede en China y Rusia, a saber, Yanbian Silverstar Network Technology Co. Ltd. y Volasys Silver Star.
“Estos trabajadores de TI canalizaron los ingresos de su trabajo fraudulento de TI a la RPDC mediante el uso de servicios de pago en línea y cuentas bancarias chinas”, señaló en ese momento el Departamento de Justicia de Estados Unidos (DoJ).
SentinelOne, que analizó cuatro nuevas empresas fachada de trabajadores de TI de la RPDC, dijo que todas estaban registradas a través de NameCheap y afirmaban ser empresas de software, consultoría y subcontratación de desarrollo, mientras copiaban su contenido de empresas legítimas.
- Independent Lab LLC (inditechlab(.)com), que copió el formato de su sitio web de una empresa con sede en EE. UU. llamada Kitrum
- Shenyang Tonywang Technology LTD (tonywangtech(.)com), que copió el formato de su sitio web de una empresa con sede en EE. UU. llamada Urolime
- Tony WKJ LLC (wkjllc(.)com), que copió el formato de su sitio web de una empresa con sede en India llamada ArohaTech IT Services
- HopanaTech (hopanatech(.)com), que copió el formato de su sitio web de una empresa con sede en EE. UU. llamada ITechArt
Si bien todos los sitios antes mencionados han sido confiscados por el gobierno de EE. UU. a partir del 10 de octubre de 2024, SentinelOne dijo que los rastreó hasta una red más amplia y activa de empresas fachada originarias de China.
Además, identificó una nueva empresa fachada llamada Shenyang Huguo Technology Ltd (huguotechltd(.)com) que presenta características similares, incluido el uso de contenido y logotipos copiados de otra empresa de software india, TatvaSoft. El dominio se registró a través de NameCheap en octubre de 2023.
“Estas tácticas ponen de relieve una estrategia deliberada y en evolución que aprovecha la economía digital global para financiar actividades estatales, incluido el desarrollo de armas”, dijeron los investigadores.
“Se insta a las organizaciones a implementar procesos de investigación sólidos, incluido un escrutinio cuidadoso de posibles contratistas y proveedores, para mitigar los riesgos y evitar el apoyo inadvertido a tales operaciones ilícitas”.
La divulgación sigue a los hallazgos de la Unidad 42 de que un grupo de actividad de trabajadores de TI de Corea del Norte al que llama CL-STA-0237 “estuvo involucrado en ataques de phishing recientes utilizando aplicaciones de videoconferencia infectadas con malware” para entregar el malware BeaverTail, lo que indica conexiones entre Wagemole y otra intrusión. conjunto conocido como Entrevista Contagiosa.
“CL-STA-0237 aprovechó una empresa de servicios de TI para pequeñas y medianas empresas (PYMES) con sede en EE. UU. para solicitar otros trabajos”, dijo la compañía. “En 2022, CL-STA-0237 consiguió un puesto en una importante empresa de tecnología”.
Si bien la naturaleza exacta de la relación entre el actor de la amenaza y la empresa explotada no está clara, se cree que CL-STA-0237 robó las credenciales de la empresa o fue contratado como empleado subcontratado, y ahora se hace pasar por la empresa para asegurar puestos de trabajo de TI y atacar a posibles solicitantes de empleo con malware con el pretexto de realizar una entrevista.
“Los actores de amenazas norcoreanos han tenido mucho éxito en generar ingresos para financiar las actividades ilícitas de su nación”, dijo la Unidad 42, señalando que el grupo probablemente opera desde Laos.
“Comenzaron haciéndose pasar por falsos trabajadores de TI para asegurar flujos de ingresos constantes, pero han comenzado a pasar a roles más agresivos, incluida la participación en amenazas internas y ataques de malware”.