Compte! Operatius de TI de Corea del Nord que exploten el treball remot per infiltrar-se en organitzacions globals
L'amenaça de la ciberinfiltració de Corea del Nord ja no és només una preocupació nord-americana, sinó que ara és una crisi global. Segons les noves troballes del Grup d'Intel·ligència d'Amenaces de Google (GTIG), els operaris de la República Popular Democràtica de Corea (RPDC) estan ampliant la seva petjada cibernètica a Europa i més enllà, aprofitant plataformes de treball remot, identitats falses i tàctiques cada cop més agressives com l'extorsió. El que va començar com una operació encoberta s'ha convertit en una xarxa internacional extensa dissenyada per desviar diners i informació sota el radar.
Taula de continguts
Una invasió silenciosa de la força de treball global
Els operaris de TI de Corea del Nord estan aprofitant la demanda global de treballadors tecnològics remots. En fer-se passar per autònoms qualificats de països com Japó, Malàisia, Ucraïna, Vietnam i fins i tot els Estats Units, aquestes persones han aconseguit contractes legítims a través de plataformes com Upwork, Freelancer i Telegram.
Un cop dins, poden accedir a sistemes sensibles i, de vegades, fins i tot manejar infraestructures crítiques com sistemes de gestió de continguts (CMS), robots web i aplicacions blockchain. Aquests operaris sovint operen amb múltiples identitats, de vegades fins a una dotzena per individu, amb cada persona actuant com a referència per als altres. En un cas, un sol treballador vinculat a la RPDC gestionava 12 identitats diferents als EUA i Europa, cadascuna feta a mida per enganyar els empresaris i les plataformes de contractació.
Europa en el punt de mira
Tot i que els Estats Units segueixen sent un objectiu principal, l'augment del control legal i les mesures de verificació del dret al treball millorades estan impulsant els operaris de la RPDC a expandir-se més als mercats europeus. Alemanya, Portugal i el Regne Unit han denunciat casos d'infiltració, amb alguns treballadors que participen en projectes de desenvolupament d'IA i d'integració de blockchain, camps que sovint atorguen un ampli accés al sistema i gestionen bases de codis propietaris o sensibles.
Al Regne Unit, els infiltrats fins i tot s'han relacionat amb un mal ús de la infraestructura corporativa, com ara l'ús d'ordinadors portàtils destinats a les oficines dels Estats Units des d'ubicacions de Londres. Aquestes operacions sovint compten amb el suport de facilitadors locals o internacionals que ajuden a emmascarar la identitat i l'origen dels operaris de TI. GTIG assenyala el descobriment de dades de contacte per als corredors que tracten amb passaports fraudulents, subratllant els recursos i l'organització del programa.
L'auge de l'extorsió: una tàctica nova i alarmant
Des de finals d'octubre de 2024, ha sorgit una nova capa de risc. Amb la repressió de les forces de l'ordre dels EUA (les interrupcions i les acusacions augmenten), alguns treballadors vinculats a la RPDC estan recorrent a l'extorsió com a font d'ingressos de seguretat. Les tàctiques són esgarrifoses: després de ser cancel·lats o detectar la detecció, els operaris amenacen amb filtrar dades sensibles, inclòs el codi font i la informació crítica per a l'empresa.
Els investigadors de GTIG creuen que la pressió sobre aquests operaris està forçant un canvi de comportament: del robatori de dades sigilós a la coacció financera agressiva. Aquest pivot marca una escalada inquietant en l'enfocament de Corea del Nord al ciberespionatge i al crim digital.
Orientació a llocs de treball BYOD
L'estratègia de la RPDC també s'ha adaptat a les realitats del treball a distància. GTIG informa que els operaris de Corea del Nord s'orienten cada cop més a empreses amb polítiques de Bring Your Own Device (BYOD). Aquestes organitzacions, que intenten reduir costos no emetent ordinadors portàtils corporatius, faciliten sense voler que els autònoms maliciosos funcionin amb poca supervisió.
Aquesta vulnerabilitat es veu agreujada per l'ús de criptomonedes i plataformes de pagament digital com Payoneer, que ajuden a emmascarar l'origen i la destinació dels fons. És un sistema curosament construït destinat a explotar els punts més febles de les defenses globals de ciberseguretat: confiança humana, accés remot i sistemes descentralitzats.
Un ecosistema global d'engany
L'abast de les operacions de la RPDC suggereix una infraestructura global que madura ràpidament, completa amb xarxes de suport en capes, corredors d'identitats falses i sistemes de blanqueig de pagaments. Les darreres troballes de GTIG subratllen com s'han tornat àgils i perillosos aquests actors.
"Com a resposta a una major consciència de l'amenaça als Estats Units, [els treballadors de TI de la RPDC] han establert un ecosistema global de persones fraudulentes per millorar l'agilitat operativa", afirma GTIG. La seva capacitat de canviar ràpidament les operacions a través de les fronteres mantenint un flux d'ingressos estable és una preocupació seriosa per a les organitzacions d'arreu del món.
Què poden fer les organitzacions?
- Reforceu la verificació d'identitat : implementeu processos de verificació rigorosos i de diversos passos per contractar treballadors remots.
Pensaments finals
L'expansió global de la infiltració de TI de Corea del Nord no és només un problema de ciberseguretat, sinó que és una amenaça econòmica i de seguretat nacional. A mesura que les seves tàctiques es tornen més sofisticades, les empreses s'han d'adaptar amb defenses igualment avançades. S'han acabat els dies de la contractació casual de treballadors autònoms d'arreu del món sense verificacions profundes d'antecedents. El cost de la inacció podria ser el robatori (o l'armament) dels vostres actius digitals més crítics.