Operativos norcoreanos fueron captados en cámara, en vivo, después de que investigadores de seguridad los atrajeran a una "laptop de desarrollador" con trampa, capturando cómo el equipo vinculado a Lazarus intentó mezclarse en un proceso de trabajo criptográfico estadounidense utilizando herramientas legítimas de contratación de IA y servicios en la nube.
La evolución en el cibercrimen patrocinado por estados fue reportadamente capturada en tiempo real por investigadores de BCA LTD, NorthScan y la plataforma de análisis de malware ANY.RUN.
Atrapando al atacante norcoreano
Hacker News compartió cómo, en una operación coordinada, el equipo desplegó un "honeypot", que es un entorno de vigilancia disfrazado como una laptop legítima de desarrollador, para atraer al Grupo Lazarus.
El metraje resultante ofrece a la industria la visión más clara hasta ahora de cómo las unidades norcoreanas, específicamente la división Famous Chollima, están evitando los firewalls tradicionales simplemente siendo contratados por el departamento de recursos humanos del objetivo.
La operación comenzó cuando los investigadores crearon una persona de desarrollador y aceptaron una solicitud de entrevista de un reclutador conocido como "Aaron". En lugar de desplegar una carga de malware estándar, el reclutador dirigió al objetivo hacia un acuerdo de empleo remoto común en el sector Web3.
Cuando los investigadores concedieron acceso a la "laptop", que en realidad era una máquina virtual fuertemente monitoreada diseñada para imitar una estación de trabajo basada en EE.UU., los operativos no intentaron explotar vulnerabilidades de código.
En cambio, se centraron en establecer su presencia como empleados aparentemente modelo.
Construyendo confianza
Una vez dentro del entorno controlado, los operativos demostraron un flujo de trabajo optimizado para mezclarse en lugar de irrumpir.
Utilizaron software legítimo de automatización de trabajo, incluyendo Simplify Copilot y AiApply, para generar respuestas pulidas de entrevista y completar formularios de solicitud a escala.
Este uso de herramientas de productividad occidentales destaca una escalada inquietante, mostrando que los actores estatales están aprovechando las mismas tecnologías de IA diseñadas para agilizar la contratación corporativa para derrotarlas.
La investigación reveló que los atacantes enrutaron su tráfico a través de Astrill VPN para ocultar su ubicación y utilizaron servicios basados en navegador para manejar códigos de autenticación de dos factores asociados con identidades robadas.
El objetivo final no era la destrucción inmediata sino el acceso a largo plazo. Los operativos configuraron Google Remote Desktop a través de PowerShell con un PIN fijo, asegurando que pudieran mantener el control de la máquina incluso si el host intentaba revocar privilegios.
Así, sus comandos eran administrativos, ejecutando diagnósticos del sistema para validar el hardware.
Esencialmente, no estaban intentando vulnerar una billetera inmediatamente.
En cambio, los norcoreanos buscaban establecerse como personas de confianza internas, posicionándose para acceder a repositorios internos y paneles de control en la nube.
Un flujo de ingresos de miles de millones de dólares
Este incidente es parte de un complejo industrial más grande que ha convertido el fraude de empleo en un impulsor principal de ingresos para el régimen sancionado.
El Equipo de Monitoreo de Sanciones Multilaterales estimó recientemente que grupos vinculados a Pyongyang robaron aproximadamente $2.83 mil millones en activos digitales entre 2024 y septiembre de 2025.
Esta cifra, que representa aproximadamente un tercio de los ingresos en moneda extranjera de Corea del Norte, sugiere que el ciberrobo se ha convertido en una estrategia económica soberana.
La eficacia de este vector de ataque de "capa humana" fue devastadoramente probada en febrero de 2025 durante la brecha del intercambio Bybit.
En ese incidente, atacantes atribuidos al grupo TraderTraitor utilizaron credenciales internas comprometidas para disfrazar transferencias externas como movimientos de activos internos, finalmente ganando control de un contrato inteligente de cold wallet.
La crisis de cumplimiento
El cambio hacia la ingeniería social crea una severa crisis de responsabilidad para la industria de activos digitales.
A principios de este año, firmas de seguridad como Huntress y Silent Push documentaron redes de empresas fantasma, incluyendo BlockNovas y SoftGlide, que poseen registros corporativos válidos de EE.UU. y perfiles creíbles de LinkedIn.
Estas entidades inducen exitosamente a los desarrolladores a instalar scripts maliciosos bajo la apariencia de evaluaciones técnicas.
Para los oficiales de cumplimiento y Directores de Seguridad de la Información, el desafío ha mutado. Los protocolos tradicionales de Know Your Customer (KWC) se centran en el cliente, pero el flujo de trabajo de Lazarus necesita un estándar riguroso de "Conoce a tu Empleado".
El Departamento de Justicia ya ha comenzado a tomar medidas, incautando $7.74 millones vinculados a estos esquemas de TI, pero el retraso en la detección sigue siendo alto.
Como demuestra la operación de BCA LTD, la única manera de atrapar a estos actores puede ser cambiar de defensa pasiva a engaño activo, creando entornos controlados que obliguen a los actores de amenazas a revelar sus técnicas antes de que se les entreguen las llaves del tesoro.
Fuente: https://cryptoslate.com/secret-footage-from-a-rigged-laptop-exposes-how-north-korean-spies-are-slipping-past-your-security-team/
