DOJ Busca Confiscar $7,7 Millones en Criptomonedas de Hackers Norcoreanos Que se Hacen Pasar por Trabajadores de TI

El Departamento de Justicia de Estados Unidos presentó la semana pasada una demanda de decomiso civil por $7,74 millones en criptomonedas lavadas por trabajadores de TI norcoreanos que obtuvieron empleo de manera fraudulenta en empresas de Estados Unidos y el extranjero.

El gobierno estadounidense confiscó los fondos como parte de una operación contra un esquema norcoreano para evadir sanciones, con autoridades acusando a un representante del Banco de Comercio Exterior de Corea del Norte, Sim Hyon Sop, en conexión con el esquema en abril de 2023.

Según el DOJ, los trabajadores de TI norcoreanos obtuvieron empleo en empresas de criptomonedas estadounidenses usando identidades falsas o obtenidas de manera fraudulenta, antes de lavar sus ingresos a través de Sim para beneficio del régimen en Pyongyang.

La demanda de decomiso también detalla que los trabajadores de TI habían sido desplegados en varios lugares alrededor del mundo, incluyendo China, Rusia y Laos.

Al ocultar sus verdaderas identidades y ubicaciones, los trabajadores pudieron asegurar empleo con empresas blockchain, que generalmente les pagaban en stablecoins—USDC o Tether.

"Durante años, Corea del Norte ha explotado los ecosistemas globales de contratación remota de TI y criptomonedas para evadir las sanciones estadounidenses y financiar sus programas de armas", dijo Sue J. Bai, jefa de la División de Seguridad Nacional del DOJ.

El Departamento de Justicia también reporta que los trabajadores de TI utilizaron varios métodos para lavar sus ingresos fraudulentos, incluyendo crear cuentas de exchange con identificaciones ficticias, realizar múltiples transferencias pequeñas, convertir de un token a otro, comprar NFT y mezclar sus fondos.

Una vez aparentemente lavados, los fondos fueron enviados al gobierno norcoreano a través de Sim Hyon Sop y Kim Sang Man, el CEO de una empresa que opera bajo el Ministerio de Defensa de Corea del Norte.

El DOJ acusó a Sim Hyon Sop en dos cargos separados en abril de 2023, incluyendo conspirar con trabajadores norcoreanos para obtener ingresos a través de empleo fraudulento y, en segundo lugar, conspirar con traders de criptomonedas OTC para usar los ingresos generados fraudulentamente para comprar bienes para Corea del Norte.

La Oficina de Campo del FBI en Chicago y la Unidad de Activos Virtuales del FBI están investigando los casos relacionados con la demanda de decomiso, que el DoJ presentó ante el Tribunal de Distrito de Estados Unidos para el Distrito de Columbia.

"La investigación del FBI ha revelado una campaña masiva de trabajadores de TI norcoreanos para defraudar empresas estadounidenses obteniendo empleo usando identidades robadas de ciudadanos estadounidenses, todo para que el gobierno norcoreano pueda evadir las sanciones estadounidenses y generar ingresos para su régimen autoritario", dijo Roman Rozhavsky, Director Asistente de la División de Contrainteligencia del FBI.

Aunque la extensión precisa del trabajo fraudulento de TI norcoreano no está completamente establecida, la mayoría de expertos coinciden en que el problema se está volviendo más significativo.

Una amenaza creciente en Corea del Norte

"La amenaza planteada por trabajadores de TI norcoreanos haciéndose pasar por empleados remotos legítimos está creciendo significativamente - y rápido", explica Andrew Fierman, Jefe de Inteligencia de Seguridad Nacional de Chainalysis, hablando con *Decrypt*.

Como evidencia de cuán "industrializada y sofisticada" se ha vuelto la amenaza, Fierman cita el ejemplo de la acusación del DoJ en diciembre de 14 nacionales norcoreanos, quienes supuestamente también habían operado bajo identidades falsas y ganado $88 millones a través de un esquema de seis años.

"Aunque es difícil determinar un porcentaje exacto de los ingresos cibernéticos ilícitos de Corea del Norte provenientes del trabajo fraudulento de TI, es claro por las evaluaciones gubernamentales y la investigación de ciberseguridad que este método ha evolucionado hacia una fuente confiable de ingresos para el régimen - especialmente cuando se combina con objetivos de espionaje y explotaciones subsecuentes", dice.

Otros especialistas en seguridad concuerdan en que la amenaza de empleados de TI norcoreanos ilícitos se está volviendo más prevalente, con Michael Barnhart – Investigador Principal i3 Insider en DTEX Systems – diciéndole a Decrypt que sus tácticas se están volviendo más sofisticadas.

"Estos operativos no son solo una amenaza potencial, ya se han insertado activamente dentro de organizaciones, con infraestructura crítica y cadenas de suministro globales ya comprometidas", dice.

Barnhart también reporta que los actores de amenaza norcoreanos han comenzado incluso a establecer "empresas fachada haciéndose pasar por terceros confiables", o insertándose en terceros legítimos que pueden no utilizar las mismas salvaguardas rigurosas que otras organizaciones más grandes.

Interesantemente, Barnhart estima que Corea del Norte puede estar generando cientos de millones en ingresos cada año del trabajo fraudulento de TI, y que cualquier cifra o suma registrada probablemente esté subestimada.

"El dicho de 'no sabes lo que no sabes' entra en juego, ya que cada día se descubre un nuevo esquema para ganar dinero", explica. "Adicionalmente, gran parte de los ingresos están ofuscados para parecer elementos de bandas criminales cibernéticas o esfuerzos completamente legítimos, lo que confunde la atribución general".

Y aunque la demanda de decomiso del jueves indica que el Gobierno estadounidense está logrando tener más control sobre las operaciones de Corea del Norte, la creciente sofisticación de esta última sugiere que las autoridades estadounidenses e internacionales pueden continuar jugando a ponerse al día por un tiempo más.

Como dice Andrew Fierman, "Lo que es especialmente preocupante es cuán perfectamente estos trabajadores pueden mezclarse: aprovechando la IA generativa para personas falsas, herramientas de deepfake para entrevistas, e incluso sistemas de apoyo para pasar evaluaciones técnicas".

En abril, el Grupo de Inteligencia de Amenazas de Google reveló que actores norcoreanos se habían expandido más allá de Estados Unidos para infiltrarse en proyectos de criptomonedas en Reino Unido, Alemania, Portugal y Serbia.

Esto incluyó proyectos desarrollando mercados blockchain, aplicaciones web de IA y contratos inteligentes de Solana, con cómplices en Reino Unido y Estados Unidos ayudando a operativos a evadir verificaciones de identificación y recibir pagos a través de TransferWise y Payoneer.

Editado por Stacy Elliott.