north korea atacantes digitales por el dia trabajadores ip fraudulentos por la noche

North Korea: atacantes digitales por el día, trabajadores IP fraudulentos por la noche

PorCarlos Ribeiro

Los ataques cibernéticos patrocinados por estados nación o nation-state no dejan de evolucionar, y Corea del Norte ha llevado este juego a otro nivel. Según un reciente informe de ESET, el grupo norcoreano detrás de la campaña DeceptiveDevelopment no solo está robando información de desarrolladores para comprometer sistemas, sino que usa estas identidades robadas para infiltrar a sus propios «trabajadores» en empresas occidentales. Dos pájaros de un tiro, como quien dice.

DeceptiveDevelopment: el cebo perfecto para desarrolladores

Esta campaña, detectada inicialmente en febrero pero activa desde al menos 2023, tiene un enfoque muy específico: desarrolladores vinculados a proyectos de criptomonedas y finanzas descentralizadas (DeFi). El método es engañosamente simple y tremendamente efectivo: ofertas de trabajo falsas que terminan en robo de información e infección por malware.

Si esto te suena familiar, es porque sigue el mismo patrón que otras campañas como Operation Dream Job, Contagious Interview o ClickFake Interview. La fórmula es siempre la misma: anuncios falsos en LinkedIn, Upwork o Freelancer.com, un reclutador ficticio con un perfil bien elaborado y una «entrevista» durante la cual, de alguna manera, la víctima termina ejecutando malware en su sistema.

Un arsenal de malware en constante evolución

Los atacantes norcoreanos no se quedan cortos en cuanto a herramientas. En los últimos años han desplegado una impresionante variedad de malware:

  • BeaverTail, InvisibleFerret y OtterCookie (nombres que casi parecen sacados de un zoológico digital)
  • WeaselStore (también conocido como GolangGhost y FlexibleFerret): un infostealer y backdoor
  • PylangGhost: la variante de Python del anterior
  • TsunamiKit: un spyware complejo en .NET que, además, instala mineros de criptomonedas
  • Tropidoor: desplegado en abril de 2025, comparte código con el RAT PostNapTea del grupo Lazarus
  • AkdoorTea: una variante de Akdoor detectada en agosto

Inicialmente, los investigadores pensaban que el objetivo principal era puramente financiero: robar criptomonedas o infiltrarse en organizaciones para saquearlas. Sin embargo, ESET ha descubierto un propósito secundario que demuestra la sofisticación de estas operaciones de nation-state.

WageMole: la red de trabajadores IP fraudulentos de Corea del Norte

Lo más inquietante del informe de ESET es la revelación de que DeceptiveDevelopment está estrechamente vinculado con WageMole, una red de trabajadores IP fraudulentos norcoreanos. Esta colaboración representa una forma de espionaje sofisticado y de múltiples capas.

Funciona así: las identidades robadas a través de DeceptiveDevelopment se entregan a WageMole, cuyos miembros las utilizan para hacerse pasar por desarrolladores legítimos y conseguir trabajos remotos en empresas occidentales.

Estructura y organización: como una empresa real

Estos grupos operan con una estructura empresarial sorprendentemente eficiente:

  • Trabajan en equipos, cada uno con un «jefe» que supervisa las operaciones
  • Establecen cuotas para cada miembro del equipo
  • Tienen responsabilidades bien definidas: conseguir trabajo, completar tareas y autoeducarse
  • Se centran principalmente en EE.UU., aunque en Europa atacan Francia, Polonia, Ucrania y Albania

Lo que me parece especialmente revelador es que no limitan su actividad a la programación. Algunos se aventuran en ingeniería civil y arquitectura, suplantando a empresas reales e incluso falsificando sellos de aprobación en planos de ingeniería. No estamos hablando de aficionados, sino de una operación a escala industrial.

Técnicas avanzadas de suplantación

Para asegurar posiciones laborales reales, WageMole emplea múltiples tácticas:

  • Entrevistas por poder (alguien se hace pasar por el candidato durante la entrevista)
  • Uso de identidades robadas
  • Creación de identidades sintéticas usando herramientas de IA

Además, según ESET, «se centran en la autoeducación y reportan estudiar materiales disponibles en línea, principalmente sobre programación web, blockchain, idioma inglés y, en los últimos años, la integración de IA en diversas aplicaciones web».

APT y espionaje: cuando el criminal cobra por trabajar en tu empresa

Esta operación demuestra la evolución de los grupos APT (Advanced Persistent Threat) norcoreanos. Ya no se trata solo de atacar sistemas, robar información o secuestrar dispositivos con ransomware. Ahora han añadido una nueva dimensión: infiltrar a sus propios agentes como empleados en empresas occidentales, cobrando salarios legítimos mientras realizan actividades de espionaje.

Es un esquema brillante en su perversidad. Piénsalo: consiguen acceso interno, aprenden sobre tecnologías occidentales, obtienen ingresos legítimos para financiar el régimen y potencialmente pueden sabotear proyectos o robar propiedad intelectual desde dentro.

Implicaciones para la seguridad corporativa

Para las empresas, especialmente las que contratan desarrolladores remotos, esto plantea desafíos significativos:

  • ¿Cómo verificar realmente la identidad de un candidato remoto?
  • ¿Qué procesos de seguridad implementar para nuevas contrataciones?
  • ¿Cómo detectar comportamientos sospechosos una vez que alguien está dentro?

No es paranoia cuando realmente están intentando infiltrarse. Y lo más preocupante es que, según avanza la tecnología de IA generativa, estas suplantaciones serán cada vez más convincentes y difíciles de detectar.

El futuro del espionaje digital patrocinado por estados

Estas tácticas representan la evolución natural del espionaje en la era digital. Los grupos APT norcoreanos ya no se limitan a ataques convencionales; han desarrollado un modelo híbrido que combina el ciberespionaje tradicional con la infiltración humana, todo ello potenciado por tecnologías avanzadas.

La pregunta no es si veremos más de esto, sino qué nuevas variaciones desarrollarán otros actores estatales. China, Rusia e Irán tienen sus propios grupos APT sofisticados, y es probable que estén observando de cerca estas tácticas norcoreanas para adaptarlas a sus propios objetivos.

Para los profesionales de ciberseguridad, este caso subraya la importancia de ir más allá de las defensas técnicas tradicionales. La seguridad ahora debe abarcar también procesos rigurosos de verificación de identidad, monitorización continua del comportamiento de los empleados y una mayor conciencia sobre las amenazas que combinan ingeniería social con técnicas avanzadas de persistencia.

Mientras tanto, Corea del Norte sigue perfeccionando su juego dual: atacantes digitales por el día, trabajadores IP fraudulentos por la noche, todo bajo el amparo de un estado que ha hecho del ciberespionaje y el fraude digital una estrategia nacional.

Publicaciones Similares

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *