Se estima que el actor de amenazas vinculado a Corea del Norte conocido como Sapphire Sleet ha robado más de 10 millones de dólares en criptomonedas como parte de campañas de ingeniería social orquestadas durante un período de seis meses.
Estos hallazgos provienen de Microsoft, que dijo que se ha observado que múltiples grupos de actividades de amenazas con vínculos con el país crean perfiles falsos en LinkedIn, haciéndose pasar por reclutadores y buscadores de empleo para generar ingresos ilícitos para la nación afectada por las sanciones.
Sapphire Sleet, que se sabe que está activo desde al menos 2020, se superpone con grupos de hackers rastreados como APT38 y BlueNoroff. En noviembre de 2023, el gigante tecnológico reveló que el actor de amenazas había establecido una infraestructura que se hacía pasar por portales de evaluación de habilidades para llevar a cabo sus campañas de ingeniería social.
Uno de los principales métodos adoptados por el grupo desde hace más de un año es hacerse pasar por un capitalista de riesgo, afirmando engañosamente un interés en la empresa de un usuario objetivo para organizar una reunión en línea. A los objetivos que caen en el anzuelo e intentan conectarse a la reunión se les muestran mensajes de error que los instan a comunicarse con el administrador de la sala o el equipo de soporte para obtener ayuda.
Si la víctima se comunica con el actor de la amenaza, se le envía un archivo AppleScript (.scpt) o un archivo Visual Basic Script (.vbs), según el sistema operativo utilizado para resolver el supuesto problema de conexión.
En el fondo, el script se utiliza para descargar malware en la máquina Mac o Windows comprometida, lo que en última instancia permite a los atacantes obtener credenciales y billeteras de criptomonedas para su posterior robo.
Se ha identificado a Sapphire Sleet haciéndose pasar por reclutadores de empresas financieras como Goldman Sachs en LinkedIn para llegar a posibles objetivos y pedirles que completen una evaluación de habilidades alojada en un sitio web bajo su control.
“El actor de la amenaza envía al usuario objetivo una cuenta de inicio de sesión y una contraseña”, dijo Microsoft. “Al iniciar sesión en el sitio web y descargar el código asociado con la evaluación de habilidades, el usuario objetivo descarga malware en su dispositivo, lo que permite a los atacantes obtener acceso al sistema”.
Redmond también ha caracterizado el envío de miles de trabajadores de TI al extranjero por parte de Corea del Norte como una triple amenaza que genera dinero para el régimen a través del trabajo “legítimo”, les permite abusar de su acceso para apoderarse de propiedad intelectual y facilita el robo de datos a cambio de una rescate.
“Dado que es difícil para una persona en Corea del Norte registrarse para obtener cosas como una cuenta bancaria o un número de teléfono, los trabajadores de TI deben utilizar facilitadores para ayudarlos a adquirir acceso a plataformas donde pueden postularse para trabajos remotos”, dijo. “Los trabajadores de TI utilizan estos facilitadores para tareas como crear una cuenta en un sitio web de empleo independiente”.
Esto incluye la creación de perfiles y portafolios falsos en plataformas de desarrolladores como GitHub y LinkedIn para comunicarse con los reclutadores y solicitar empleo.
En algunos casos, también se ha descubierto que utilizan herramientas de inteligencia artificial (IA) como Faceswap para modificar fotografías y documentos robados a las víctimas o mostrarlos en entornos de aspecto profesional. Luego, estas imágenes se utilizan en currículums o perfiles, a veces de varias personas, que se envían para solicitudes de empleo.
“Además de utilizar la IA para ayudar a crear imágenes utilizadas en las solicitudes de empleo, los trabajadores de TI de Corea del Norte están experimentando con otras tecnologías de IA, como el software de cambio de voz”, dijo Microsoft.
“Los trabajadores de TI de Corea del Norte parecen estar muy organizados cuando se trata de rastrear los pagos recibidos. En general, este grupo de trabajadores de TI de Corea del Norte parece haber ganado al menos 370.000 dólares estadounidenses gracias a sus esfuerzos”.