Mauro Eldritch, investigador argentino-uruguayo especializado en amenazas cibernéticas, descubrió un sofisticado esquema de ciberdelincuencia de un grupo criminal de Corea del Norte.

El analista, quien dirige su compañía BCA LTD y trabajó en este caso con las compañías NorthScan y ANY.RUN, vio cómo espías norcoreanos trabajan en vivo y les grabó conversaciones de su actividad en lo que ellos creían que eran sus computadoras reales.

Así permitió ver cómo los norcoreanos usan herramientas de inteligencia artificial para robar dinero e información de computadoras de occidente para financiar el régimen de Kim Jong Un.

La historia

Mauro Eldritch es un virólogo de los programas informáticos: es capaz de desentrañar entre códigos anomalías, amenazas, ataques. En palabras más cercanas al mundo de la seguridad informática: mucho malware. Y, como buen virólogo, apenas llega algo empieza a dudar sobre su autenticidad.

Este analista en ciberseguridad recibió en abril un mensaje en LinkedIn que no era uno más. Un brasileño le proponía trabajo para encontrar un problema en una aplicación. "Si estás disponible para trabajar ahora, no dudes en contactarme. Esto representa una oportunidad de crecimiento a largo plazo", indicó.

La persona le pedía ayuda y a cambio le ofrecía pagarle US$ 500. Para trabajar, le pidió que primero grabara un video mostrando el arreglo.

Pero Mauro notó que la historia era rara y revisó todo con más detalle. Ahí descubrió que el proyecto escondía un truco: la persona que lo quería contratar le iba a mandar un archivo que estaba preparado para instalar un programa malicioso en la computadora de quien lo ejecutara.

Con eso confirmó que no era un cliente real, sino un nuevo intento de engaño hecho por un grupo de hackers de Corea del Norte que suele disfrazarse de empresas o reclutadores para atrapar a ingenieros y personas del mundo tecnológico con el objetivo de robar dinero e información que luego termina abasteciendo al régimen de Kim Jong Un.

La razón de fondo es que Corea del Norte recurre a estas estrategias clandestinas porque necesita generar fondos en un contexto de sanciones internacionales. Estados Unidos, a través de la OFAC —la Oficina de Control de Activos Extranjeros del Departamento del Tesoro, que se encarga de aplicar sanciones económicas y prohibir transacciones con actores considerados de riesgo— impide contratar trabajadores norcoreanos o enviar dinero al régimen.

Cualquier pago directo violaría esas sanciones. Por eso estos grupos operan desde las sombras: es la única manera que encuentran para mover dinero y sostener las finanzas del Estado.

Lo que siguió

Este grupo criminal se llama Famous Chollima, y es una división de un grupo más grande de Corea del Norte llamado Lazarus, y Eldritch viene investigándolo desde hace años.

Al punto que en 2023, Eldritch y el periodista argentino Juan Brodersen descubrieron un virus al que bautizaron QRLog, oculto en un generador de códigos QR.

Al ejecutarse en una computadora, ese software permitía a los norcoreanos buscar archivos, robar contraseñas o ver qué estaba haciendo el usuario.

Qué pasó ahora

Los atacantes ahora utilizan otra estrategia. Según contó Eldritch a El Observador, descubrieron decenas de mensajes privados que llegaban a muchos desarrolladores informáticos.

En esas propuestas los norcoreanos, que se hacían pasar por estadounidenses, contaban que tenían un equipo de desarrolladores que se querían postular a muchas empresas y tenían un volumen de entrevistas que no podía afrontar. Por eso empezaron a buscar personas que se presentara a esas instancias bajo distintas modalidades. Una es que se hicieran pasar por estas personas y la segunda es que, si la persona no se animaba a poner su cara en una videollamada, los reclutadores usaran la identidad del desarrollador en su totalidad.

Este fue un ejemplo:

Un reclutador del grupo atacante norcoreano, apodado Blaze, contactó a Heiner García, de la empresa NorthScan, que trabajó con Eldritch en esta investigación. Le escribió un mensaje por GitHub, una plataforma que sirve como centro para almacenar, compartir y colaborar en proyectos de desarrollo de software.

El norcoreano, que se hizo pasar por un estadounidense llamado Neyma Díaz, le propuso a García que se hiciera pasar por él para presentarse en empresas. En el mail solo le pusieron que la idea era que García usara la imagen de Díaz en esas entrevistas.

“No te preocupes por las preguntas; puedo ayudarte a cómo responder de manera efectiva. Si la entrevista sale bien y recibimos una oferta, yo me encargo (...) de todos los trámites”, decían en el correo.

Le aseguraban cobrar unos US$ 3.000 por mes.

El investigador se dio cuenta que ese mismo correo lo recibieron muchísimos más desarrolladores. Y creó una cuenta de una tercera persona “inexistente” con habilidades parecidas a las que tenía y también obtuvo la propuesta. Finalmente, tuvo una entrevista por videollamada.

Ahí es cuando esta historia empieza a tornarse cinematográfica.

Según García, en el primer encuentro audiovisual decidió mantener la cámara apagada para generar un poco de desconfianza “natural”. “En una segunda llamada, que duró aproximadamente veinte minutos, el objetivo principal fue adoptar una postura ingenua, casi de novato, como alguien que no termina de entender el contexto ni las implicancias de la propuesta”, contó.

Durante la entrevista, el atacante le propuso otra idea distinta a la que le había sugerido en el mail: en vez de Heiner García hiciera las entrevistas, Heiner le cediera su identidad para que “Neyma Díaz” pudiera participar de las entrevistas. Esto implicaba obtener su documento, nombre completo y dirección para postularse a empleos en su nombre. Para todo ello, le pidió lo que más le interesaba: acceso a su computadora las 24 horas. El atacante le pidió validar todas las cuentas en varias plataformas utilizando sus propios documentos.

b79d0414-541c-4b8a-9e67-ae11543d2005_2784x1608 (1)

Este es el espía norcoreano que intentó estafar a los estafadores.

Le pidió que descargara AnyDesk, una herramienta popular de control remoto de computadoras para que el norcoreano pudiera tener acceso a su máquina.

La comunicación continuó por Telegram y en esa semana le anunció que empezaría a buscar vacantes utilizando su perfil de LinkedIn. También le detalló las áreas en las que pensaba postular: IT, fintech, comercio electrónico y servicios de salud.

Una granja de laptops que engañó a los norcoreanos

Junto a la empresa Any.Run, Eldritch logró crear lo que se llaman sandbox: computadoras virtuales, monitoreadas, donde ellos pudieran ver qué archivos abrían los atacantes, qué descargaban o modificaban. En otras palabras, podían ver cada clic que hacían.

“Todo quedaba transmitido y grabado en vivo para que pudiéramos verlo”, contó Eldritch. “teníamos control absoluto sobre las máquinas en cualquier momento”, agregó.

Le dieron acceso remoto a una "computadora trampa", preparada especialmente para vigilarlo. En cuanto el atacante, apodado "Blaze", entró para instalar sus programas, los expertos empezaron a sabotearlo provocando fallos técnicos y apagones falsos en el sistema, obligándolo a reiniciar y perder todo su trabajo una y otra vez.

Cansado y frustrado por tantos problemas técnicos inventados, el hacker cometió un error fatal: dejó abierta su cuenta personal de Google y sincronizó sus datos en la computadora de los investigadores. Esto les permitió ver todas las herramientas que usaba para sus estafas y leer sus conversaciones privadas, descubriendo que él y su equipo estaban desanimados y bajo mucha presión. Mientras el espía luchaba inútilmente por arreglar la máquina, los expertos leían sus correos y documentaban cada uno de sus pasos.

e7320884-4006-4154-9a99-29957ad87695_2784x1664

Captura del mail del estafador.

El juego terminó cuando el hacker finalmente notó que algo muy raro pasaba con su conexión a internet y que la ubicación de la computadora no coincidía con la realidad. Al darse cuenta de que había caído en una trampa y que estaba siendo grabado, entró en pánico.

Los investigadores concluyeron: "Si sos empleador, aplicá controles rigurosos de identidad y verificación de antecedentes al contratar. Entrená a tus equipos de reclutamiento para detectar señales de alerta y no dudes en compartirles esta historia a tus candidatos para que entiendan que esa “empresa de software” que les ofreció algo demasiado bueno para ser real quizá no sea legítima. Siempre dudá de todo".