Cuando una "masajista de TikTok" ayuda a evadir sanciones: la historia de un reclutamiento

El Departamento de Justicia de EE.UU. ha iniciado una demanda civil para confiscar más de 7,74 millones de dólares en criptomonedas, tokens no fungibles (NFT) y otros activos digitales relacionados con un esquema fraudulento multinivel organizado por Corea del Norte a través de falsos especialistas en TI.

Según las autoridades estadounidenses, durante varios años, Corea del Norte ha utilizado sistemáticamente plataformas globales de trabajo remoto y mecanismos criptográficos para eludir sanciones y financiar su programa militar. El mecanismo principal consistía en emplear a sus ciudadanos bajo identidades falsas en empresas tecnológicas y de criptomonedas de EE.UU., donde recibían salarios que eran transferidos a través de canales preparados de antemano, eludiendo el control sancionador.

La base del caso fue la acusación de abril de 2023 contra Sim Hyun Sop, representante del banco norcoreano Foreign Trade Bank, quien, según la fiscalía, actuaba como enlace entre los falsos especialistas en TI y las estructuras gubernamentales de Corea del Norte. Trabajando bajo nombres falsos y utilizando herramientas de inteligencia artificial, incluyendo ChatGPT, estos empleados pasaban entrevistas laborales e ingresaban a empresas, eludiendo los procedimientos estándar de verificación.

La red operaba bajo los nombres de Wagmole y UNC5267, y, según los especialistas, fue organizada por el Partido del Trabajo de Corea. Además de crear perfiles falsos, el esquema incluía coordinadores que organizaban las llamadas “granjas de portátiles”, facilitaban entrevistas por video y se encargaban del lavado de dinero a través de una cadena de cuentas fantasma.

Una de las participantes del esquema, Kristina Marie Chapman, ya se ha declarado culpable. Fue reclutada a través de un mensaje en LinkedIn en 2020. Anteriormente trabajó como camarera y masajista, y tenía más de 100 mil seguidores en TikTok. Su sentencia se espera para el 16 de julio.

La investigación posterior reveló que Sim Hyun Sop utilizó una billetera de criptomonedas por la que pasaron más de 24 millones de dólares entre agosto de 2021 y marzo de 2023. El análisis demostró que la mayoría de estos fondos provenían de Kim Sang Man, director de la empresa “Chinyong” (también conocida como “Jinyong IT Cooperation Company”). Él actuaba como nodo financiero, recibiendo fondos de los especialistas en TI y redirigiéndolos a los canales apropiados.

Según DTEX, esta red representa una estructura criminal organizada bajo el patrocinio del Estado. Se divide en dos tipos de trabajadores: los llamados Revenue IT Workers, centrados en la generación de ingresos, y los Malicious IT Workers, que realizan acciones maliciosas dentro de la infraestructura de las empresas, incluyendo chantaje, sabotaje y robo de propiedad intelectual.

La empresa Chinyong promovía activamente a sus especialistas en proyectos de blockchain. Dos empleados ficticios que trabajaban para ella bajo los nombres de Naoki Murano y Jenson Collins fueron identificados como participantes en operaciones de financiamiento del régimen. Murano está vinculado con un robo de criptomonedas por 6 millones de dólares en septiembre de 2024 en la empresa DeltaPrime.

La investigación también reveló el uso de dominios y cuentas falsos para crear cartas de recomendación y formularios fraudulentos. Algunas de estas cuentas estaban infectadas con malware que permitía acceder a información confidencial, incluyendo historiales de navegación que contenían traducciones del inglés al coreano sobre temas de falsificación de recomendaciones y entrega de equipos.

Una atención especial de los especialistas fue dirigida a un sistema único de control remoto que permitía a los trabajadores en TI norcoreanos operar portátiles desde las granjas a miles de kilómetros de distancia. El sistema incluía señales de red no estándar, canales ocultos de comandos basados en WebSocket y modificación de parámetros de Zoom para eliminar señales visuales o de audio que indicaran una conexión remota.

Paralelamente a la campaña Wagemole, también opera otro grupo llamado Contagious Interview, conocido también como DeceptiveDevelopment, Famous Chollima, Gwisin Gang, Tenacious Pungsan y otros nombres. Su táctica difiere: en lugar de conseguir empleo con una identidad falsa, los atacantes toman el control de puestos ya ocupados utilizando malware e ingeniería social.

Según los expertos, en los próximos años el vector de los ciberataques podría desplazarse hacia el sector bancario. La integración de tecnologías blockchain y Web3 en las finanzas tradicionales abre nuevas brechas para campañas cibernéticas dirigidas a eludir sanciones. Los expertos advierten: cuanto más profundamente se integre el sector financiero en tecnologías descentralizadas, mayor será la probabilidad de convertirse en objetivo de estructuras norcoreanas.