AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**OFAC sanciona a individuos y empresas vinculados a esquemas de IT norcoreanos que amenazan a empresas estadounidenses**

admin

### Introducción

El 1 de junio de 2024, la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de los Estados Unidos anunció nuevas sanciones contra dos individuos y dos empresas vinculadas a la República Popular Democrática de Corea (RPDC). Estas entidades estarían implicadas en la infiltración de trabajadores IT norcoreanos en organizaciones estadounidenses y globales, utilizando identidades y documentación falsificada. El objetivo: financiar las actividades ilícitas del régimen de Pyongyang, incluyendo el desarrollo de armas y programas de misiles, a través de ciberataques y fraudes tecnológicos. Este movimiento se produce en un contexto de creciente preocupación por la sofisticación y persistencia de las amenazas cibernéticas estatales.

### Contexto del Incidente o Vulnerabilidad

Desde hace años, la RPDC ha desplegado una estrategia sostenida de obtención de divisas mediante la inserción de profesionales IT en empresas extranjeras, especialmente en sectores tecnológicos críticos. Utilizando identidades ficticias y documentación adulterada, estos trabajadores logran acceder a sistemas sensibles y, en ocasiones, a datos confidenciales o infraestructura crítica. Tal como ha documentado el FBI y la CISA en alertas previas, estos individuos suelen operar en modalidad remota, simulando ubicaciones en terceros países y empleando servicios VPN o proxies para enmascarar su ubicación real.

Las investigaciones recientes de la OFAC han identificado a Kim Sang Man y Choe Song Hyok, así como a las empresas Yanbian Silverstar Network Technology Co., Ltd. y Volasys Silver Star, como puntos clave de esta red. Estas entidades han facilitado la contratación y el pago de servicios IT prestados por norcoreanos, desviando ingresos hacia el régimen de Kim Jong-un.

### Detalles Técnicos

Las operaciones de los trabajadores IT norcoreanos se caracterizan por un uso avanzado de técnicas de evasión y ocultación, alineadas con las tácticas, técnicas y procedimientos (TTP) descritos en el marco MITRE ATT&CK, especialmente en las categorías **TA0001: Initial Access**, **TA0006: Credential Access** y **TA0040: Impact**. Los vectores de ataque más utilizados incluyen:

– **Uso de identidades falsas**: Generación y uso de documentos de identidad y currículos falsos para el proceso de selección de personal.
– **Acceso remoto encubierto**: Empleo de VPNs, proxies residenciales y dispositivos de salto para evitar la detección geográfica.
– **Exfiltración de información**: Utilización de herramientas legítimas (Living off the Land) y scripts personalizados (PowerShell, Python) para mover información sensible fuera de la organización.
– **Persistencia y movimiento lateral**: En casos avanzados, se han detectado intentos de obtener privilegios elevados y movimientos laterales utilizando exploits conocidos (CVE-2023-23397, CVE-2022-30190), además de toolkits como Cobalt Strike o Metasploit para establecer canales de comando y control (C2).

Indicadores de compromiso (IoC) publicados por el FBI incluyen direcciones IP asociadas a nodos VPN utilizados por trabajadores norcoreanos, hashes de archivos maliciosos y patrones anómalos de acceso a sistemas críticos fuera del horario laboral habitual.

### Impacto y Riesgos

El riesgo principal radica en la posible exfiltración de información confidencial, espionaje industrial y la facilitación de accesos no autorizados a actores estatales. Según estimaciones de la OFAC, entre 2020 y 2023, más de 1.500 empresas estadounidenses habrían contratado inadvertidamente a desarrolladores o personal técnico vinculado a la RPDC, con un impacto económico estimado en más de 100 millones de dólares desviados para financiar programas de armas.

Además, la presencia de estos actores internos incrementa la superficie de ataque y puede ser utilizada para desplegar ransomware, manipulación de sistemas críticos y fraudes financieros. La violación de normativas como la GDPR y la inminente NIS2 en la Unión Europea podría acarrear sanciones adicionales para las empresas afectadas.

### Medidas de Mitigación y Recomendaciones

Los expertos recomiendan implementar controles estrictos en los procesos de selección y contratación, incluyendo la verificación avanzada de identidades y antecedentes, así como la monitorización activa de accesos y comportamientos anómalos. Entre las mejores prácticas destacan:

– **Revisar y reforzar los procedimientos de onboarding** con comprobaciones de autenticidad documental.
– **Monitorización de conexiones remotas** y uso de herramientas EDR (Endpoint Detection and Response) para detectar accesos sospechosos.
– **Aplicación de políticas de Zero Trust** y segmentación de redes.
– **Revisión de logs de acceso y uso de herramientas SIEM** para correlacionar eventos sospechosos.
– **Concienciación y formación de RRHH y personal técnico** sobre las TTP empleadas por estos grupos.

El FBI y CISA ponen a disposición listas actualizadas de IoC y recomendaciones técnicas específicas para la detección y respuesta temprana.

### Opinión de Expertos

Expertos del sector, como Pablo San Emeterio (responsable de ciberseguridad en Telefónica Tech), subrayan que “la amenaza de actores internos patrocinados por estados es una de las más difíciles de detectar y mitigar, especialmente en entornos de trabajo remoto o globalizados”. Añaden que “la colaboración internacional y la compartición de inteligencia son clave para anticipar y bloquear este tipo de operaciones encubiertas”.

### Implicaciones para Empresas y Usuarios

Las empresas tecnológicas, especialmente aquellas que subcontratan servicios de desarrollo o soporte, deben ser especialmente cautelosas. La contratación inadvertida de personal vinculado a la RPDC no solo supone riesgos técnicos, sino también legales y reputacionales, pudiendo implicar sanciones por parte de la OFAC e investigaciones federales. Los usuarios, por su parte, pueden verse afectados por brechas de datos o interrupciones de servicios críticos, derivadas de la actividad maliciosa de estos trabajadores encubiertos.

### Conclusiones

La sanción impuesta por la OFAC pone de manifiesto la capacidad de adaptación de los actores estatales norcoreanos y la necesidad de reforzar los controles de seguridad en toda la cadena de contratación y acceso a sistemas críticos. El sector debe redoblar sus esfuerzos en la verificación de identidades, monitorización activa e intercambio de inteligencia para anticipar y bloquear este tipo de amenazas persistentes y altamente sofisticadas.

(Fuente: www.bleepingcomputer.com)