Bloomberg Línea — Investigadores de ciberseguridad detectaron que grupos norcoreanos crearon dos empresas en Estados Unidos, en violación de las sanciones del Tesoro, para engañar a desarrolladores de criptomonedas con ofertas de trabajo falsas, implementando malware para robar credenciales y comprometer billeteras.
Ver más: ¿La IA es machista? Así es como ChatGPT y otras herramientas reproducen sesgos de género
Las compañías, Blocknovas LLC y Softglide LLC, se establecieron en los estados de Nuevo México y Nueva York utilizando personas y direcciones falsas, dijeron investigadores de Silent Push, una firma estadounidense de ciberseguridad.
Una tercera empresa, Angeloper Agency, está vinculada a la campaña, pero no parece estar registrada en EE.UU.
Estas entidades operaban como fachadas dentro de una ofensiva conocida como Contagious Interview, una campaña que usó falsas ofertas de empleo para contactar a víctimas, generalmente desarrolladores de software.
A través de entrevistas remotas y supuestas pruebas técnicas, los atacantes inducían a sus objetivos a descargar archivos infectados que contenían malware diseñado para robar credenciales, datos sensibles y activos digitales.
Los piratas informáticos son parte de un subgrupo dentro de Lazarus, un equipo de élite de piratas informáticos norcoreanos que operan en interés de su Estado, según los investigadores de la firma.
Esta campaña de espionaje cibernético se considera parte de los esfuerzos más amplios de Corea del Norte para explotar las industrias de criptomonedas para financiar sus ambiciones gubernamentales y militares, en violación de las sanciones de Estados Unidos y las Naciones Unidas.
La intervención del FBI
La empresa fachada de BlockNovas tiene 14 personas que supuestamente trabajan para ellos, sin embargo, muchos de los perfiles de los empleados que el equipo investigó parecen ser falsos.
Ver más: Así es cómo los vigilantes digitales luchan contra los estafadores y ayudan a la policía
En las últimas horas, el FBI incautó el sitio web Blocknovas y explicó en un anuncio que la medida es “parte de una acción de aplicación de la ley contra los actores cibernéticos de Corea del Norte que utilizaron este dominio para engañar a las personas con ofertas de trabajo falsas y distribuir malware”.
Los especialistas explicaron también que Contagious Interview ha estado implicado en sofisticadas campañas de ciberespionaje, que suelen incluir ingeniería social, dirigidas a diversas industrias.
El equipo detectó el uso de herramientas maliciosas, como BeaverTail, InvisibleFerret y OtterCookie, con el fin de facilitar el acceso remoto y el robo de datos.
Además, la red utilizó servicios como Astrill VPN y proxies residenciales para ofuscar su infraestructura y actividades, lo que dificulta su detección.
