El Departamento del Tesoro de EE. UU. sanciona a miembro clave del grupo norcoreano Andariel por fraude en contratación de trabajadores IT remotos

Introducción

El 25 de junio de 2024, la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de Estados Unidos ha anunciado sanciones contra Song Kum Hyok, identificado como operador principal dentro del grupo de amenazas persistentes avanzadas (APT) norcoreano Andariel. La acción se produce tras descubrirse su implicación en una compleja trama fraudulenta centrada en la contratación de trabajadores IT remotos. Este movimiento resalta la creciente sofisticación de las operaciones cibernéticas norcoreanas y su impacto en la economía digital global.

Contexto del Incidente

Andariel, conocido por su relación con el colectivo Lazarus y su dependencia directa del régimen norcoreano, ha sido previamente vinculado a campañas de ciberespionaje, sabotaje y obtención ilícita de fondos, especialmente mediante ransomware y ataques a infraestructuras críticas. En los últimos años, la estrategia de estos grupos ha evolucionado hacia el uso de identidades falsas y la infiltración en empresas occidentales a través de servicios freelance y teletrabajo, aprovechando la tendencia global hacia el trabajo remoto.

Song Kum Hyok, de 38 años y residente en la provincia china de Jilin, ha sido señalado como facilitador clave, permitiendo la creación y gestión de identidades ficticias, cuentas bancarias y direcciones IP enmascaradas que permitían a los actores norcoreanos acceder a posiciones sensibles en compañías tecnológicas internacionales. El esquema, según el Tesoro de EE. UU., ha permitido la transferencia de millones de dólares hacia Corea del Norte, eludiendo sanciones internacionales y financiando actividades ilícitas, incluidas las relacionadas con programas balísticos y nucleares.

Detalles Técnicos

El modus operandi detallado por la OFAC se alinea con varias técnicas y tácticas recogidas en el framework MITRE ATT&CK. Entre ellas se destacan:

– **T1078 – Access Token Manipulation**: Uso de credenciales robadas o falsificadas para acceder a sistemas corporativos.
– **T1136 – Create Account** y **T1098 – Account Manipulation**: Creación y modificación de cuentas de usuario con privilegios elevados.
– **T1566 – Phishing** y **T1204 – User Execution**: Uso de técnicas de ingeniería social para obtener acceso inicial.
– **T1090 – Proxy** y **T1071 – Application Layer Protocol**: Uso de proxies y VPN para ocultar el origen del tráfico y dificultar la atribución.
– **T1105 – Ingress Tool Transfer**: Transferencia de herramientas como Metasploit, Cobalt Strike y RATs personalizados para persistencia y movimiento lateral.

Los Indicadores de Compromiso (IoC) publicados incluyen direcciones IP asociadas a nodos de salida VPN en China y Rusia, hashes de archivos maliciosos y patrones de comportamiento anómalos en plataformas de contratación remota como Upwork y Freelancer.

Las versiones de sistemas afectados varían, aunque se ha detectado especial actividad en entornos Windows Server 2016/2019, así como en aplicaciones SaaS (Office 365, Google Workspace) donde la agregación de permisos se ha utilizado para exfiltración de datos y sabotaje.

Impacto y Riesgos

El impacto de esta campaña es significativo tanto a nivel económico como operativo. Según estimaciones de la ONU, Corea del Norte podría haber obtenido más de 3.000 millones de dólares en los últimos cinco años a través de actividades cibernéticas ilícitas, con un porcentaje creciente proveniente del fraude en teletrabajo IT.

Las empresas afectadas se enfrentan a riesgos de robo de propiedad intelectual, acceso no autorizado a datos sensibles (GDPR, NIS2), y daños reputacionales. Destaca el peligro de que actores norcoreanos puedan acceder a infraestructuras críticas o utilizar su posición para desplegar ransomware o realizar sabotaje industrial.

Medidas de Mitigación y Recomendaciones

1. **Verificación estricta de identidad**: Uso de procedimientos KYC reforzados y autenticación multifactor (MFA) en procesos de contratación remota.
2. **Monitorización continua de accesos**: Implementación de SIEM y UEBA para detectar comportamientos anómalos en cuentas remotas.
3. **Limitación de privilegios**: Aplicación estricta de políticas de mínimo privilegio y revisiones periódicas de permisos.
4. **Análisis de tráfico saliente**: Detección y bloqueo de comunicaciones con IPs e infraestructuras asociadas a actores norcoreanos (listas negras OFAC).
5. **Formación y concienciación**: Programas de concienciación en ingeniería social y amenazas APT para RRHH y técnicos.

Opinión de Expertos

Según Javier Pérez, CISO en una entidad financiera española, “la infiltración de trabajadores remotos por parte de grupos APT representa una de las amenazas más insidiosas para la cadena de suministro digital. Es imprescindible reforzar los controles en los procesos de outsourcing y teletrabajo, especialmente en posiciones sensibles”.

Por su parte, el analista de amenazas de S21sec, Marta Gómez, añade: “El caso Andariel demuestra que la ciberseguridad ya no es solo un asunto tecnológico, sino un reto de inteligencia corporativa y verificación de terceros, donde la colaboración internacional y el intercambio de IoC son clave”.

Implicaciones para Empresas y Usuarios

Las implicaciones de este caso trascienden el ámbito técnico. Las empresas, además de fortalecer sus controles internos, deben revisar sus obligaciones regulatorias bajo GDPR y la inminente NIS2, que exige una mayor transparencia y diligencia en la gestión de proveedores y empleados remotos.

Usuarios y freelancers también deben extremar la precaución ante ofertas sospechosas y verificar la legitimidad de las plataformas y empleadores, ya que la suplantación de identidad y el fraude asociado pueden tener consecuencias legales y financieras graves.

Conclusiones

La sanción impuesta por la OFAC a Song Kum Hyok y la exposición pública de las tácticas de Andariel marcan un hito en la lucha global contra el cibercrimen patrocinado por estados. Las organizaciones deben adoptar un enfoque proactivo y multidisciplinar para detectar y mitigar este tipo de amenazas, integrando controles técnicos, procesos de verificación y colaboración internacional.

(Fuente: feeds.feedburner.com)