diciembre 3, 2025
korean.jpg

2 de diciembre de 2025Las noticias de los piratas informáticosRobo de identidad/Inteligencia sobre amenazas

Una investigación conjunta dirigida por Mauro Eldritch, el fundador de BCA LTDrealizado junto con la Threat Intel Initiative Exploración Norte Y CUALQUIER EJECUCIÓN, una solución interactiva de análisis de malware y detección de amenazas, ha descubierto uno de los programas de infiltración más persistentes de Corea del Norte: una red de trabajadores de TI remotos vinculados a la famosa división Chollima del Grupo Lazarus.

Por primera vez, los investigadores pudieron observar a los operadores trabajando. vivirregistrando sus actividades en lo que parecían ser portátiles de desarrolladores reales. Sin embargo, las máquinas eran entornos sandbox de larga duración y totalmente controlados creados por ANY.RUN.

La configuración: reclutarlos y luego dejarlos entrar

Captura de pantalla de un mensaje de un reclutador que ofrece una oferta de trabajo falsa

La operación comenzó como NorthScan Heiner García Utilizando el seudónimo de “Aaron” (también conocido como “Blaze”), se hizo pasar por un desarrollador estadounidense que estaba en el punto de mira de un reclutador de Lazarus.

Blaze se hizo pasar por una “empresa” de colocación laboral y trató de contratar al desarrollador equivocado para que la encabezara. una conocida táctica de Chollima utilizada para canalizar a los trabajadores de TI de Corea del Norte hacia empresas occidentales, principalmente en los Estados Unidos. Finanzas, criptografía, atención sanitaria e ingeniería sectores.

El proceso de las entrevistas.

El plan siguió un patrón familiar:

  • robar o tomar prestada una identidad,
  • Pasar entrevistas con herramientas de IA y compartir respuestas.
  • trabajar de forma remota a través del ordenador portátil de la víctima,
  • Canalizar el salario de regreso a la RPDC.

Después de que Blaze solicitó acceso completo, incluido SSN, ID, LinkedIn, Gmail y disponibilidad de computadora portátil las 24 horas, los 7 días de la semana, el equipo pasó a la fase dos.

The Trap: Una “granja de portátiles” que no era real

Un entorno virtual seguro proporcionado por el sandbox interactivo de ANY.RUN

En lugar de utilizar una computadora portátil real, Mauro Eldritch de BCA LTD implementó las máquinas virtuales ANY.RUN Sandbox, cada una configurada para parecerse a una estación de trabajo personal completamente activa con historial de uso, herramientas de desarrollo y enrutamiento de proxy para uso residencial en EE. UU.

El equipo también pudo forzar choques, acelerar la conectividad y tomar una instantánea de cada movimiento sin alertar a los operadores.

Lo que encontraron en el famoso kit de herramientas Chollima

Las sesiones de espacio aislado proporcionaron un conjunto de herramientas ligero pero eficaz diseñado para la suplantación y el acceso remoto en lugar de la distribución de malware. Una vez que se sincronizó su perfil de Chrome, los operadores cargaron lo siguiente:

  • Herramientas de automatización del trabajo impulsadas por IA (Simplify Copilot, AiApply, Final Round AI) para completar solicitudes automáticamente y generar respuestas a entrevistas.
  • Generadores de OTP basados ​​en navegador (OTP.ee / Authenticator.cc) para manejar la 2FA de las víctimas una vez que se han recopilado los documentos de identificación.
  • Escritorio remoto de GoogleSe configura a través de PowerShell con un PIN fijo y permite el control permanente del host.
  • rutina Iluminación del sistema (dxdiag, systeminfo, whoami) para validar el hardware y el entorno.
  • Las conexiones se enrutan consistentemente Astrill VPNun patrón vinculado a la infraestructura anterior de Lazarus.

En una sesión, el operador incluso dejó un mensaje en el Bloc de notas pidiendo al “desarrollador” que cargara su identificación, número de seguro social y datos bancarios, confirmando el objetivo de la operación: completar la identidad y la toma de control de la estación de trabajo sin implementar una sola pieza de malware.

Una advertencia para empresas y equipos de contratación

El reclutamiento remoto se ha convertido en un punto de entrada silencioso pero confiable para las amenazas basadas en la identidad. Los atacantes suelen llegar a su empresa dirigiéndose a empleados individuales con solicitudes de entrevistas aparentemente legítimas. Una vez dentro, el riesgo va mucho más allá de que un solo trabajador esté en riesgo. Un intruso puede obtener acceso a paneles internos, datos comerciales confidenciales y cuentas de nivel de administrador que tienen un impacto operativo real.

Crear conciencia dentro de la organización y proporcionar un lugar seguro para revisar eventos sospechosos puede significar la diferencia entre detener un ataque temprano y lidiar con un compromiso interno total más adelante.

¿Te pareció interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en Google Noticias, Gorjeo y LinkedIn para leer más contenido exclusivo que publicamos.

About The Author

desafiomayor

See author's posts

Related News

npm-mal.jpg

El paquete malicioso npm utiliza mensajes y scripts ocultos para eludir las herramientas de seguridad de IA

diciembre 2, 2025 0
hacked.jpg

GlassWorm regresa con 24 extensiones maliciosas disfrazadas de herramientas de desarrollo populares

diciembre 2, 2025 0

You may have missed

Curi-Bio-ribbon-cutting.jpg

La startup de biotecnología de Seattle, Curi Bio, recibe 10 millones de dólares para ampliar su apoyo a la investigación y el desarrollo para el descubrimiento de fármacos.

diciembre 3, 2025 0
women-location-sharing1.png

Una filtración de datos en el gigante de la analítica Mixpanel deja muchas preguntas sin respuesta

diciembre 3, 2025 0
bang-olufsen-beoplay-h9.jpg

Los mejores auriculares con cancelación de ruido de 2025

diciembre 3, 2025 0
1764695111_6b6690c0-cdf9-11f0-bb3e-33ff641c0177.jpeg

Algunas de las mejores ofertas de Cyber ​​​​Monday TV que aún existen incluyen televisores de Samsung, Sony y más a precios bajos de todos los tiempos.

diciembre 3, 2025 0
MarvelRivals-Shop-Discord.png

Los usuarios de Discord ahora pueden comprar artículos del juego sin salir de la plataforma

diciembre 2, 2025 0
lg-oled-g5-tv.png

Última oportunidad de obtener $1,400 de descuento en el televisor LG OLED más brillante que he visto en esta oferta en curso del Cyber ​​​​Monday

diciembre 2, 2025 0