De «hola, soy su nuevo analista» a «¡ay, ¿dónde está mi cripto?»»: anatomía del sistema interno de los hackers de Corea del Norte
Corea del Norte aprende a infiltrarse en redes corporativas sin necesidad de hackear
Corea del Norte ya no actúa en la red como un conjunto de grupos de hackers dispersos. Según los datos de Krypt3ia, las ciberoperaciones de Corea del Norte se han convertido en un sistema interconectado, donde recurren a personal falso, atacan a desarrolladores, roban criptomonedas y espían, trabajando con un objetivo común: obtener dinero, eludir sanciones y acceder a datos ajenos.
Los expertos consideran que las etiquetas habituales para las agrupaciones describen cada vez peor la realidad. Operaciones que antes parecían campañas separadas ahora suelen usar los mismos servidores, cuentas, herramientas, identidades falsas y métodos de acceso a redes corporativas.
Uno de los principales enfoques ha sido el esquema de empleados remotos falsos. Especialistas nortecoreanos usan documentos robados, biografías ficticias, intermediarios, redes privadas virtuales y granjas de portátiles para contratarse en empresas extranjeras como trabajadores o contratistas. Tras el empleo, los atacantes obtienen acceso legítimo a sistemas internos, correo, servicios en la nube y flujos de trabajo.
Ese acceso es más difícil de detectar que el malware tradicional. Para los sistemas de seguridad, el empleado parece legítimo, entra en la red de forma habitual y usa las herramientas corporativas. Como resultado, Corea del Norte obtiene una presencia a largo plazo dentro de las empresas sin grandes intrusiones ruidosas.
Al mismo tiempo, los hackers norcoreanos atacan activamente a desarrolladores mediante ofertas de trabajo falsas y entrevistas técnicas simuladas. A las víctimas se les propone completar una prueba, descargar un repositorio o ejecutar un proyecto para evaluar sus habilidades. Dentro de esos proyectos pueden ocultarse dependencias maliciosas, scripts y configuraciones que infectan el equipo del desarrollador.
El valor de esos ataques no se limita a un solo dispositivo infectado. Los desarrolladores suelen tener acceso al código fuente, entornos en la nube, sistemas de compilación, tokens, chats internos y cuentas. A través de un solo especialista los atacantes pueden llegar a la infraestructura de la empresa, a la cadena de suministro o a servicios de criptomonedas.
Los hackers de Corea del Norte siguen robando criptomonedas, pero el enfoque se ha vuelto más sofisticado. Los atacantes cada vez menos suelen comenzar con el hackeo directo de un intercambio o una billetera. Primero recopilan credenciales, se afianzan en servicios en la nube, usan el acceso de empleados ficticios y comprometen a desarrolladores. Para el momento del robo, los operadores ya entienden los procesos internos, los permisos y las medidas de protección de la víctima.
Tras el hurto, los fondos se fraccionan rápidamente y se trasladan entre billeteras, redes y servicios de intercambio. Para ocultar rastros se emplean servicios financieros descentralizados, mezcladores y esquemas de transferencia en varias etapas. Esa rapidez dificulta bloquear activos y complica las investigaciones.
Krypt3ia también señala un aumento del abuso de plataformas de confianza. En lugar de una infraestructura visible para el control del malware, los operadores norcoreanos usan cada vez más GitHub, servicios en la nube, plataformas de colaboración, herramientas de administración remota y repositorios de software. Ese tipo de tráfico se mezcla con mayor facilidad con la actividad corporativa normal.
En consecuencia, Corea del Norte está construyendo no campañas aisladas sino un sistema cibernético resiliente, donde cada acceso exitoso puede reutilizarse. Un reclutador falso puede conducir a la infección de un desarrollador; la infección de un desarrollador puede abrir la puerta a la nube; la nube puede ayudar a robar criptomonedas o a recopilar inteligencia. Ese modelo hace que las operaciones sean flexibles, persistentes y difíciles de atribuir con precisión a un grupo concreto.
La conclusión principal del informe es que Corea del Norte ha aprendido a usar la confianza como arma. La confianza en empleados remotos, en desarrolladores, en plataformas en la nube, en repositorios abiertos y en servicios habituales se ha vuelto parte de la estrategia de ataque. Para las empresas, eso significa que la defensa ya no puede limitarse a buscar archivos maliciosos. Hay que verificar a las personas, las cuentas, los permisos, los entornos en la nube y las cadenas de desarrollo.