Red de trabajadores IT vinculados a Lazarus: así infiltra Corea del Norte empresas globales

Introducción

Una reciente investigación conjunta llevada a cabo por Mauro Eldritch, fundador de BCA LTD, en colaboración con la iniciativa de inteligencia de amenazas NorthScan y la plataforma de análisis de malware ANY.RUN, ha sacado a la luz uno de los esquemas de infiltración más persistentes llevados a cabo por Corea del Norte. Por primera vez, los investigadores han logrado documentar y analizar en profundidad una red de trabajadores IT remotos, estrechamente vinculados a la división Famous Chollima del conocido grupo Lazarus. Este modus operandi representa un desafío significativo para las defensas de empresas en todo el mundo, al combinar elementos de ingeniería social, suplantación de identidad y técnicas avanzadas de evasión.

Contexto del Incidente o Vulnerabilidad

El grupo Lazarus, respaldado por el gobierno de Corea del Norte y categorizado por MITRE ATT&CK como APT38, es conocido por campañas de ciberespionaje, sabotaje y amenazas financieras a escala global. Aunque sus operaciones han sido ampliamente documentadas, la reciente investigación revela una táctica menos convencional: la infiltración de empresas internacionales mediante la contratación de trabajadores IT remotos que operan bajo identidades falsas. Estos empleados, en apariencia legítimos, logran acceder a redes corporativas, infraestructuras críticas y repositorios de código, abriendo puertas a ataques de mayor envergadura.

La división Famous Chollima, dentro de Lazarus, ha sido previamente señalada como responsable de operaciones sofisticadas orientadas a la obtención de divisas y al robo de propiedad intelectual. El uso de trabajadores remotos permite eludir controles fronterizos, regulaciones de contratación y mecanismos tradicionales de detección, lo que complica la identificación y mitigación de la amenaza para los equipos de seguridad.

Detalles Técnicos

En la investigación, los analistas identificaron múltiples vectores de ataque y técnicas empleadas por los trabajadores IT vinculados a Lazarus. La intrusión comienza con la creación de perfiles falsos en plataformas de empleo y redes profesionales (LinkedIn, Upwork, Freelancer), donde se presentan credenciales y portafolios manipulados. Muchos de estos perfiles emplean deepfakes o fotografías robadas, dificultando la verificación tradicional de identidad.

Una vez contratados, estos trabajadores obtienen acceso a sistemas internos mediante VPN corporativas, RDP y herramientas de colaboración como Slack, Jira o GitHub. Se han detectado casos en los que, tras establecerse en la organización, los atacantes despliegan herramientas de post-explotación como Cobalt Strike y Metasploit para moverse lateralmente y escalar privilegios. Los investigadores han documentado la explotación de vulnerabilidades conocidas (por ejemplo, CVE-2023-34362 en MOVEit Transfer) para obtener persistencia y exfiltrar datos sensibles.

Los TTP (Tácticas, Técnicas y Procedimientos) documentados se alinean con las matrices MITRE ATT&CK T1078 (Valid Accounts), T1566 (Phishing), y T1574 (Hijack Execution Flow). Los Indicadores de Compromiso (IoC) incluyen direcciones IP asociadas a servicios de anonimización, dominios y hashes de archivos maliciosos, compartidos entre comunidades de threat intelligence para facilitar la detección temprana.

Impacto y Riesgos

Según la investigación, se estima que al menos un 1,5% de las grandes empresas tecnológicas han sido contactadas por perfiles sospechosos o han contratado, sin saberlo, a trabajadores vinculados a Famous Chollima. Los riesgos principales incluyen:

– Acceso no autorizado a repositorios de código fuente y documentación interna.
– Filtración de credenciales y datos de acceso privilegiado.
– Instalación de backdoors y malware personalizado para ataques diferidos.
– Compromiso de infraestructuras críticas (CI/CD, sistemas de autenticación, servidores de producción).
– Riesgo de sanciones regulatorias y fuerte impacto reputacional, especialmente bajo marcos como GDPR y la directiva NIS2.

Los daños económicos asociados a incidentes de este tipo pueden superar los 10 millones de euros por evento, considerando tanto la pérdida de información como los costes de recuperación y sanciones legales.

Medidas de Mitigación y Recomendaciones

Para mitigar este tipo de amenazas, los expertos recomiendan:

– Refuerzo de los procesos de verificación de identidad, utilizando biometría y entrevistas presenciales virtuales con análisis de deepfakes.
– Implementación de políticas de Zero Trust, limitando los privilegios de acceso al mínimo necesario y revisando periódicamente los permisos otorgados.
– Monitorización continua de la actividad interna, aplicando soluciones EDR y SIEM para detectar comportamientos anómalos.
– Realización de auditorías regulares a cuentas privilegiadas y actividad de trabajadores remotos.
– Compartición de IoC y colaboración con organismos internacionales de ciberseguridad.

Opinión de Expertos

Mauro Eldritch señala: “La sofisticación de Lazarus no reside sólo en su capacidad técnica, sino en su habilidad para manipular procesos humanos y empresariales. La frontera entre insider y outsider es cada vez más difusa en el entorno IT global”. Por su parte, analistas de NorthScan subrayan la importancia de una cultura de ciberseguridad sólida y la formación continua de RRHH y equipos técnicos en la detección de amenazas no convencionales.

Implicaciones para Empresas y Usuarios

Las organizaciones deben ser conscientes de que la internacionalización del trabajo remoto supone un nuevo vector de riesgo. La contratación de personal IT sin los debidos controles puede abrir la puerta a actores estatales o grupos APT, con consecuencias legales y operativas significativas. Además, los usuarios finales pueden verse afectados por el compromiso de servicios y la exposición de datos personales o corporativos.

Conclusiones

La operación descubierta por BCA LTD, NorthScan y ANY.RUN pone de manifiesto la evolución constante de las tácticas de Lazarus y la necesidad de adaptar los mecanismos de defensa a un entorno de amenazas cada vez más complejo y globalizado. La combinación de ingeniería social, suplantación digital y técnicas avanzadas de post-explotación exige una respuesta coordinada entre departamentos de seguridad, RRHH y proveedores tecnológicos, así como la actualización continua de políticas y herramientas de detección.

(Fuente: feeds.feedburner.com)