La empresa estadounidense de ciberseguridad KnowBe4 denuncia que un agente norcoreano ha intentado infiltrarse entre su personal como un supuesto teletrabajador, y aunque consiguió llegar a entrar en la organización, no consiguió hacerse con información comprometida ni de la misma empresa, ni de terceras partes.
No es el primer caso, y el gobierno estadounidense ya ha advertido con anterioridad de agentes norcoreanos haciéndose pasar por teletrabajadores para el sector tecnológico con el objetivo de infiltrarse en empresas occidentales, ya sea para sacar información valiosa para posteriores actividades, como para realizar secuestros con ransomware a cambio de un rescate en criptomonedas. Las criptodivisas constituyen una de las fuentes de financiación del país.
Reclutado como ingeniero principal de software para KnowBe4, previamente esta empresa había realizado verificaciones de antecedentes, referencias y llevó a cabo hasta cuatro entrevistas por videoconferencia para asegurar que la persona era real y que su rostro coincidía con el del currículum vitae, algo que el agente consiguió gracias a la ayuda de la inteligencia artificial, con la que construyó una suerte de ‘máscara’ adaptada en tiempo real para las videoconferencias.
Las sospechas por parte del personal de KnowBe4 tomaron forma el 15 de julio de 2024, cuando su producto EDR informó un intento de cargar malware desde la estación de trabajo Mac que se había enviado recientemente al nuevo empleado.
Finalmente, determinaron que aquella persona se había escondido, en realidad, tras una identidad robada de un ciudadano estadounidense para eludir los controles preliminares, y llegaron a la conclusión de que había utilizado IA para esconder su verdadera identidad en las videoconferencias.
Un portavoz de KnowBe4 explicó a BleepingComputer que el malware era un infostealer dirigido a datos almacenados en navegadores web, y que el agente norcoreano probablemente esperaba extraer información dejada en el ordenador antes de que le fuera asignado, como credenciales entradas para sesiones de trabajo a través del navegador como resultado del proceso de aprovisionamiento inicial del departamento de TI, o para extraer información de un portátil incompletamente o mal borrado, y que previamente había sido asignado a otro empleado.
Cuando desde KnowBe4 le recriminaron al supuesto trabajador su actividad ilícita, este inicialmente se disculpó, pero pronto desapareció, dejando de responder a todos los intentos de comunicación.
No es un caso aislado entre las empresas tecnológicas
Desde la empresa afectada indican que el modus operandi de estos agentes norcoreanos para no levantar sospechas, consiste en engañar a la víctima (como he dicho antes, una empresa del sector tecnológico) para que les envie un ordenador, una estación de trabajo para que puedan realizar el trabajo para el que se les ha contratado.
Una vez recibido en una dirección aparentemente legítima (por motivos obvios, no puede ser en Corea del Norte, por lo que los agentes se sirven de intermediarios), utilizan software de VPN (red privada virtual, por sus siglas en inglés) para conectarse remotamente, realizando las tareas legítimas que se les ha encomendado en un horario en el que no despierten sospechas (por ejemplo, el de Estados Unidos, o el de donde haya declarado el supuesto teletrabajador que reside).
Para mitigar posibles riesgos, desde KnowBe4 (y, ahora, con buen conocimiento de causa) sugieren que las empresas mantengan un entorno aislado para los nuevos empleados, separado de las partes más críticas de la red corporativa. La compañía también recomienda asegurarse de que los dispositivos externos de los nuevos empleados no se utilicen de forma remota y tratar las inconsistencias en las direcciones de envío como una señal de alerta.
Según el FBI estadounidense, el gobierno de Corea del Norte mantiene un ejército altamente organizado de supuestos trabajadores de TI que ocultan sus verdaderas identidades para ser contratados por cientos de empresas, principalmente estadounidenses, aunque no hay que descartar que extiendan esta actividad a países europeos y del bloque occidental en general.
Los ingresos generados por estos trabajadores se utilizan para financiar los programas de armas del país, las operaciones cibernéticas y para recopilar inteligencia de todo tipo.
