Hackers norcoreanos especializados en empleos falsos se esfuerzan al máximo para que sus estafas parezcan auténticas.
¿Tienes idea de a quién estás contratando?
Investigaciones recientes han revelado que cibercriminales norcoreanos están utilizando identidades falsas para conseguir empleo en compañías de desarrollo de software, tanto en Asia como en Occidente. Según un estudio de Nisos, se han detectado al menos cuatro perfiles falsos que se hacen pasar por desarrolladores de software, expertos en blockchain y profesionales de IT, con el objetivo de generar ingresos para financiar los programas de armas de Pyongyang.
Para la creación de estas identidades fraudulentas, los atacantes están aprovechando cuentas maduras de GitHub y reutilizando contenido de portafolios de personas anteriores. Esta estrategia les permite respaldar sus nuevas identidades, facilitando la obtención de empleo en empresas de menos de 50 empleados.
A pesar de que estos perfiles poseen cuentas en sitios de empleo y páginas de información personal, carecen de presencias en redes sociales, lo que representa una señal de alerta. Además, las fotos de perfil parecen haber sido retocadas, en ocasiones mostrando rostros diferentes superpuestos sobre imágenes de archivo para simular trabajo en equipo.
Una característica común entre estos perfiles es el uso de direcciones de correo electrónico similares que incluyen números y la palabra "dev". Aunque es complicado establecer con certeza su vinculación, Nisos ha señalado varios indicios que apuntan a una conexión con el régimen norcoreano, incluyendo tácticas y técnicas atribuibles a actores de fraude laboral relacionados con el país.
Históricamente, la entidad conocida como Lazarus, que opera como un grupo patrocinado por el estado norcoreano, ha buscado posiciones en desarrollo de software. Al ser contratados, obtienen acceso a la infraestructura interna de las empresas, lo que les permite robar información sensible o incluso dinero. Lazarus también ha sido involucrado en la creación de empresas y puestos falsos para reclutar desarrolladores de software en importantes firmas de IT, implantando malware durante el proceso de contratación con el mismo propósito de acceder a la infraestructura IT de los empleadores. Este grupo frecuentemente dirige sus ataques hacia negocios relacionados con blockchain y ha realizado algunos de los mayores robos en criptomonedas de la historia.
