Los piratas informáticos de Corea del Norte usan compañías estadounidenses falsas para hackear criptos de desarrolladores
Los agentes cibernéticos de Corea del Norte formaron en silencio dos compañías de responsabilidad limitada en los Estados Unidos y las usaron para deslizar un código perjudicial a los ingenieros de software que buscan trabajo en el mundo de las criptomonedas, según las presentaciones legales de los Estados Unidos y la investigación compartidas con Reuters.
Silent Push, una firma de ciberseguridad, dice Blocknovas LLC en Nuevo México y Softglide LLC en Nueva York, se construyeron con nombres inventados y direcciones alquiladas para que los piratas informáticos pudieran parecer empleadores legítimos mientras enviaban malware a los solicitantes. Una tercera firma, la agencia de Angeloper, llevó las huellasdentde la web maliciosa, pero no apareció en ningún registro corporativo de los Estados Unidos.
"Este es un raro ejemplo de piratas informáticos norcoreanos que realmente logran establecer entidades corporativas legales en los EE. UU. Para crear frentes corporativos utilizados para atacar a los solicitantes de empleo desprevenidos", dijo a Reuters Kasey Best, director de inteligencia de amenazas de Silent Push.
La Oficina Federal de Investigación de los Estados Unidos no discutiría directamente a las dos compañías. Sin embargo, el jueves, la Oficina publicó un aviso de incautación en el sitio web de Blocknovas que decía que el dominio se había tomado "como parte de una acción de aplicación de la ley contra los actores cibernéticos de Corea del Norte que utilizaron este dominio para engañar a las personas con ofertas de trabajo falsas y distribuir malware".
Antes del derribo, los altos funcionarios del FBI dijeron a la agencia para "imponer riesgos y consecuencias, no solo en los propios actores de la RPDC, sino a cualquiera que esté facilitando su capacidad para llevar a cabo estos esquemas".
Un funcionario llamó a las unidades de piratería "quizás una de las amenazas persistentes más avanzadas" que enfrenta los Estados Unidos hoy.
Silent Push dice que los atacantes se hicieron pasar por reclutadores y ofrecieron entrevistas que requerían objetivos para abrir archivos maliciosos.
Blocknovas y Softglide usaron anuncios de trabajo para deslizar malware a los desarrolladores de criptografía
Una vez lanzados, los archivos intentaron cosechar claves de billetera de criptomonedas, contraseñas y otrosdentque luego podrían ayudar a entrar en intercambios o empresas de tecnología.
El informe inédito de la compañía confirma "múltiples víctimas", la mayoría de ellas se acercaron a través de Blocknovas, que los investigadores describen como "con mucho el más activo" de los tres frentes.
Los registros estatales muestran que Blocknovas se registró en Nuevo México el 27 de septiembre de 2023. Su papeleo enumera una dirección postal en Warrenville, Carolina del Sur, que Google Maps muestra como un lote vacío.
La incorporación de Softglide en Nueva York traca una pequeña oficina de preparación de impuestos en Buffalo. No había ningún tracde las personas cuyos nombres aparecen en ninguno de los archivos.
Los funcionarios estadounidenses dicen que el patrón se ajusta a un impulso más amplio de Corea del Norte para aumentar la moneda dura. Los expertos en Washington, Seúl y las Naciones Unidas han acusado durante mucho tiempo a Pyongyang de robar criptografía y enviar miles de trabajadores de tecnología de la información en el extranjero para financiar el programa de misiles nucleares del país.
Dirigir una empresa controlada por Corea del Norte dentro de los Estados Unidos rompe las sanciones impuestas por la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro. Viola las medidas del Consejo de Seguridad de la ONU que impiden la actividad comercial que benefician al estado o militar de Corea del Norte.
Los archivos de trabajo con malware están vinculados al Grupo Lazarus
El Secretario de Estado de Nuevo México dijo en un correo electrónico que Blocknovas se presentó a través del sistema nomental-LLC en línea utilizando un agente registrado y parecía cumplir con las reglas estatales. "No habría forma de que nuestra oficina supiera su conexión con Corea del Norte", escribió un representante.
Los investigadores vinculan la actividad con un subgrupo del Grupo Lazarus, un equipo de piratería de élite que responde al Buró General de Reconocimiento, el principal brazo de Inteligencia Extranjera de Pyongyang.
Push SilentdentIfled al menos tres familias de malware previamente conocidas dentro de los archivos de trabajo maliciosos. Las herramientas pueden extraer datos de máquinas infectadas, abrir puertas traseras para una intrusión adicional y descargar un código de ataque adicional, un libro de jugadas a menudo visto en actividades pasadas de Lázaro.
Por ahora, el dominio de Blocknovas se encuentra bajo la incautación federal, el sitio web de SoftGlide está fuera de línea y los errores de devolución de las páginas de la Agencia Angeloper. Pero los investigadores advierten que los nuevos alias pueden aparecer rápidamente.
"Esta operación ilustra la amenaza de evolución continua que representan los actores cibernéticos de la RPDC", dijo el FBI en su declaración, instando a los profesionales de la tecnología a analizar las ofertas de trabajo no solicitadas e informar cualquier alcance sospechoso.
Academia Cryptopolitan: ¿Quieres hacer crecer tu dinero en 2025? Aprenda cómo hacerlo con DeFi en nuestra próxima clase web. Guarda tu lugar
Artículos Recomendados
