Corea del Norte despliega empresas falsas en EE.UU. para robar cripto a desarrolladores
Los hackers norcoreanos perfeccionan su juego: ahora operan tras fachadas de compañías legítimas en suelo estadounidense para infiltrarse en proyectos blockchain.
Método de ataque: Los actores maliciosos crean empresas ficticias con sede en Silicon Valley, ofreciendo falsas oportunidades laborales a desarrolladores de criptomonedas. Una vez ganada su confianza, despliegan malware dirigido para vaciar billeteras digitales.
Ironía financiera: Mientras Wall Street sigue debatiendo si el bitcoin es ’un activo real’, los ladrones ya lo tratan como la divisa más líquida del mercado negro.
Blocknovas y Softglide usaron anuncios de trabajo para deslizar malware a los desarrolladores de criptografía
Una vez lanzados, los archivos intentaron cosechar claves de billetera de criptomonedas, contraseñas y otrosdentque luego podrían ayudar a entrar en intercambios o empresas de tecnología.
El informe inédito de la compañía confirma "múltiples víctimas", la mayoría de ellas se acercaron a través de Blocknovas, que los investigadores describen como "con mucho el más activo" de los tres frentes.
Los registros estatales muestran que Blocknovas se registró en Nuevo México el 27 de septiembre de 2023. Su papeleo enumera una dirección postal en Warrenville, Carolina del Sur, que Google Maps muestra como un lote vacío.
La incorporación de Softglide en Nueva York traca una pequeña oficina de preparación de impuestos en Buffalo. No había ningún tracde las personas cuyos nombres aparecen en ninguno de los archivos.
Los funcionarios estadounidenses dicen que el patrón se ajusta a un impulso más amplio de Corea del Norte para aumentar la moneda dura. Los expertos en Washington, Seúl y las Naciones Unidas han acusado durante mucho tiempo a Pyongyang de robar criptografía y enviar miles de trabajadores de tecnología de la información en el extranjero para financiar el programa de misiles nucleares del país.
Dirigir una empresa controlada por Corea del Norte dentro de los Estados Unidos rompe las sanciones impuestas por la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro. Viola las medidas del Consejo de Seguridad de la ONU que impiden la actividad comercial que benefician al estado o militar de Corea del Norte.
Los archivos de trabajo con malware están vinculados al Grupo Lazarus
El Secretario de Estado de Nuevo México dijo en un correo electrónico que Blocknovas se presentó a través del sistema nomental-LLC en línea utilizando un agente registrado y parecía cumplir con las reglas estatales. "No habría forma de que nuestra oficina supiera su conexión con Corea del Norte", escribió un representante.
Los investigadores vinculan la actividad con un subgrupo del Grupo Lazarus, un equipo de piratería de élite que responde al Buró General de Reconocimiento, el principal brazo de Inteligencia Extranjera de Pyongyang.
Push SilentdentIfled al menos tres familias de malware previamente conocidas dentro de los archivos de trabajo maliciosos. Las herramientas pueden extraer datos de máquinas infectadas, abrir puertas traseras para una intrusión adicional y descargar un código de ataque adicional, un libro de jugadas a menudo visto en actividades pasadas de Lázaro.
Por ahora, el dominio de Blocknovas se encuentra bajo la incautación federal, el sitio web de SoftGlide está fuera de línea y los errores de devolución de las páginas de la Agencia Angeloper. Pero los investigadores advierten que los nuevos alias pueden aparecer rápidamente.
"Esta operación ilustra la amenaza de evolución continua que representan los actores cibernéticos de la RPDC", dijo el FBI en su declaración, instando a los profesionales de la tecnología a analizar las ofertas de trabajo no solicitadas e informar cualquier alcance sospechoso.
Academia Cryptopolitan: ¿Quieres hacer crecer tu dinero en 2025? Aprenda cómo hacerlo con DeFi en nuestra próxima clase web. Guarda tu lugar
