Una filtración revela la vida cotidiana de los estafadores informáticos norcoreanos

Buscar trabajo es un infierno. Se pierden horas revisando vacantes, ajustando cartas de presentación y lidiando con reclutadores obtusos, y todo eso antes de empezar con las posibles entrevistas. Se podría decir que algunos de los solicitantes de empleo más prolíficos del mundo, o al menos los más persistentes, son los que se inscriben en los extensos programas de trabajadores de TI de Corea del Norte . Durante años, el régimen represivo de Kim Jong-un ha enviado con éxito a programadores cualificados al extranjero, donde se les encarga encontrar trabajo remoto y enviar dinero a la nación aislada y fuertemente sancionada. Cada año, miles de trabajadores de TI ganan entre 250 y 600 millones de dólares, según estimaciones de las Naciones Unidas .

Ahora, un nuevo y aparentemente enorme conjunto de datos, obtenido por un investigador de ciberseguridad, arroja nueva luz sobre cómo un grupo de supuestos trabajadores informáticos norcoreanos ha estado gestionando sus operaciones y la meticulosa planificación de sus planes para obtener beneficios. El dinero obtenido por estos estafadores contribuye a los esfuerzos de desarrollo de armas de destrucción masiva y a los programas de misiles balísticos de Corea del Norte, según ha declarado el gobierno estadounidense. Correos electrónicos, hojas de cálculo, documentos y mensajes de chat de cuentas de Google, Github y Slack presuntamente vinculadas a los presuntos estafadores norcoreanos muestran cómo rastrean las ofertas de trabajo, registran sus solicitudes en curso y registran sus ingresos con minuciosa atención al detalle.

El conjunto de datos, que ofrece un vistazo a la vida cotidiana de algunos trabajadores de TI de Corea del Norte, también incluye presuntamente identificaciones falsas que podrían usarse para solicitudes de empleo, así como ejemplos de cartas de presentación, detalles de granjas de computadoras portátiles y manuales para crear cuentas en línea. Esto refuerza la dependencia de los trabajadores de la RPDC de servicios tecnológicos estadounidenses, como Google, Slack y GitHub.

"Creo que esta es la primera vez que veo sus operaciones internas, cómo funcionan", afirma el investigador de seguridad, que usa el nombre de usuario SttyK y pidió no ser identificado por motivos de privacidad y seguridad. SttyK, quien presenta sus hallazgos en la conferencia de seguridad Black Hat en Las Vegas hoy, afirma que una fuente confidencial anónima les proporcionó los datos de las cuentas en línea. "Hay varias docenas de gigabytes de datos. Hay miles de correos electrónicos", añade SttyK, quien mostró su presentación a WIRED antes de la conferencia.

Los trabajadores de TI de Corea del Norte se han infiltrado, en los últimos años, en grandes empresas de Fortune 500, una gran cantidad de empresas tecnológicas y de criptomonedas, e innumerables pequeñas empresas. Si bien no todos los equipos de trabajadores de TI utilizan los mismos enfoques, a menudo usan identidades falsas o robadas para obtener trabajo y también utilizan facilitadores que ayudan a cubrir sus huellas digitales . Los trabajadores de TI a menudo están basados en Rusia o China y se les da más libertad y libertades (se les ha visto disfrutando de fiestas en la piscina y cenando fuera en cenas de carne caras) que millones de norcoreanos a quienes no se les garantizan los derechos humanos básicos. Un desertor norcoreano que operaba como trabajador de TI le dijo recientemente a la BBC que el 85 por ciento de sus ganancias mal habidas se enviaban a Corea del Norte. "Aún es mucho mejor que cuando estábamos en Corea del Norte", dijeron.

Varias capturas de pantalla de hojas de cálculo con los datos obtenidos por SttyK muestran un grupo de trabajadores de TI que parecen estar divididos en 12 grupos, cada uno con alrededor de una docena de miembros, y un "jefe general". Las hojas de cálculo están diseñadas metodológicamente para el seguimiento de trabajos y presupuestos: cuentan con pestañas de resumen y análisis que desglosan los datos de cada grupo. Las filas y columnas están perfectamente completadas; parecen actualizarse y mantenerse regularmente.

Las tablas muestran los posibles puestos de trabajo para los profesionales de TI. Una hoja, que aparentemente incluye actualizaciones diarias, enumera las descripciones de los puestos ("Se necesita un nuevo desarrollador de React y Web3"), las empresas que los anuncian y sus ubicaciones. También incluye enlaces a las vacantes en sitios web de freelancers o a los datos de contacto de quienes realizan la contratación. Una columna de "estado" indica si están "en espera" o si se ha contactado con ellos.

Capturas de pantalla de una hoja de cálculo vista por WIRED parecen incluir los posibles nombres reales de los propios trabajadores de TI. Junto a cada nombre se encuentra un registro con la marca y el modelo de la computadora que supuestamente poseen, así como los monitores, discos duros y números de serie de cada dispositivo. El "jefe", cuyo nombre no aparece, aparentemente usa un monitor de 34 pulgadas y dos discos duros de 500 GB.

Una página de "análisis" en los datos consultados por SttyK, el investigador de seguridad, muestra una lista de los tipos de trabajo en los que participa el grupo de estafadores: IA, blockchain, web scraping, desarrollo de bots, desarrollo de aplicaciones móviles y web, trading, desarrollo de CMS, desarrollo de aplicaciones de escritorio y "otros". Cada categoría incluye un presupuesto potencial y un campo de "total pagado". Doce gráficos en una hoja de cálculo afirman registrar cuánto han recibido, las regiones más lucrativas para obtener ingresos y si recibir pagos semanales, mensuales o fijos es lo más exitoso.

“Se gestiona de forma profesional”, afirma Michael “Barni” Barnhart, destacado investigador de hacking y amenazas norcoreano que trabaja para la firma de seguridad contra amenazas internas DTEX. “Todos deben cumplir con sus cuotas. Todo debe anotarse. Todo debe quedar registrado”, añade. El investigador añade que ha observado niveles similares de registro en los sofisticados grupos de hackers norcoreanos , que han robado miles de millones en criptomonedas en los últimos años, y que son en gran medida independientes de los esquemas de los trabajadores de TI. Barnhart ha examinado los datos obtenidos por SttyK y afirma que coinciden con lo que él y otros investigadores estaban rastreando.

"Creo que estos datos son muy reales", afirma Evan Gordenker, gerente senior de consultoría del equipo de inteligencia de amenazas de la Unidad 42 de la empresa de ciberseguridad Palo Alto Networks, quien también ha visto los datos obtenidos por SttyK. Gordenker afirma que la empresa había estado rastreando varias cuentas en los datos y que una de las cuentas prominentes de GitHub ya había expuesto públicamente los archivos de los trabajadores de TI. Ninguna de las direcciones de correo electrónico vinculadas a la RPDC respondió a las solicitudes de comentarios de WIRED.

GitHub eliminó tres cuentas de desarrollador después de que WIRED se pusiera en contacto con Raj Laud, director de ciberseguridad y seguridad en línea de la compañía, quien informó que habían sido suspendidas de acuerdo con sus normas sobre spam y actividades no auténticas. «La prevalencia de este tipo de actividades de amenaza por parte de estados-nación es un desafío para toda la industria y un problema complejo que nos tomamos muy en serio», afirma Laud.

Google se negó a comentar sobre las cuentas específicas proporcionadas por WIRED, alegando políticas de privacidad y seguridad de las cuentas. "Contamos con procesos y políticas para detectar estas operaciones e informarlas a las autoridades", afirma Mike Sinno, director de detección y respuesta de Google. "Estos procesos incluyen tomar medidas contra la actividad fraudulenta, notificar proactivamente a las organizaciones afectadas y colaborar con asociaciones públicas y privadas para compartir información sobre amenazas que refuerce las defensas contra estas campañas".

“Contamos con políticas estrictas que prohíben el uso de Slack a personas o entidades sancionadas, y actuamos con rapidez cuando identificamos actividades que infringen estas normas”, afirma Allen Tsai, director sénior de comunicaciones corporativas de Salesforce, empresa matriz de Slack. “Cooperamos con las fuerzas del orden y las autoridades pertinentes según lo exige la ley y no hacemos comentarios sobre cuentas específicas ni investigaciones en curso”.

Otra hoja de cálculo también enumera a los miembros como parte de una "unidad" llamada "KUT", una posible abreviatura de la Universidad Tecnológica Kim Chaek de Corea del Norte, que se ha citado en las advertencias del gobierno estadounidense sobre los trabajadores de TI vinculados a la RPDC. Una columna de la hoja de cálculo también indica "propiedad" como "Ryonbong", probablemente refiriéndose a la empresa de defensa Korea Ryonbong General Corporation, sancionada por Estados Unidos desde 2005 y por la ONU desde 2009. "La gran mayoría de ellos [trabajadores de TI] están subordinados y trabajan en nombre de entidades directamente involucradas en los programas de armas de destrucción masiva y misiles balísticos prohibidos por la ONU de la RPDC, así como en sus sectores avanzados de desarrollo y comercio de armas convencionales", dijo el Departamento del Tesoro de Estados Unidos en un informe de mayo de 2022 .

En la gran cantidad de cuentas de GitHub y LinkedIn, CV y sitios web de portafolios vinculados a trabajadores de TI que los investigadores han identificado en los últimos años, a menudo hay patrones distintivos. Las direcciones de correo electrónico y las cuentas usan los mismos nombres; los CV pueden parecer idénticos. "La reutilización del contenido del currículum también es algo que hemos visto con frecuencia en sus perfiles", dice Benjamin Racenberg, un investigador sénior que ha rastreado a los perfiles de trabajadores de TI norcoreanos en la empresa de ciberseguridad Nisos. Racenberg dice que los estafadores están adoptando cada vez más la IA para la manipulación de imágenes , las videollamadas y como parte de los guiones que usan. "Para los sitios web de portafolios, los hemos visto usar plantillas y usar la misma plantilla una y otra vez", dice Racenberg.

Todo esto apunta a una monotonía diaria para los informáticos encargados de ejecutar los planes criminales del régimen de Kim. "Es mucho copiar y pegar", dice Gordenker, de la Unidad 42. Un presunto informático al que Gordenker rastreó fue descubierto usando 119 identidades. "Busca en Google generadores de nombres japoneses —mal escritos, por supuesto— y luego, en unas cuatro horas, simplemente rellena hojas de cálculo llenas de nombres y posibles lugares [a los que atacar]".

Sin embargo, la documentación detallada también cumple otro propósito: rastrear a los trabajadores de TI y sus acciones. "Hay muchos factores en juego una vez que el dinero llega a manos de la dirección, por lo que necesitarán cifras precisas", afirma Barnhart de DTEX. En algunos casos, se ha detectado software de monitoreo de empleados en los ordenadores de los estafadores, y los investigadores afirman que los norcoreanos, en las entrevistas de trabajo , no responden preguntas sobre Kim .

SttyK afirma haber visto docenas de grabaciones de pantalla en canales de Slack que mostraban la actividad diaria de los trabajadores. En las capturas de pantalla de una instancia de Slack, la cuenta "Jefe" envía un mensaje: "@canal: Todos deberían intentar trabajar más de 14 horas al día". El siguiente mensaje dice: "Este registro de tiempo incluye el tiempo de inactividad, como saben".

“Curiosamente, su comunicación ha sido completamente en inglés, no en coreano”, dice SttyK. El investigador, junto con otros, especula que esto puede deberse a dos razones: primero, para integrarse en actividades legítimas; y segundo, para mejorar sus habilidades de inglés para solicitudes y entrevistas. Los datos de la cuenta de Google, según SttyK, muestran que usaban con frecuencia la traducción en línea para procesar los mensajes.

Más allá de un vistazo a cómo los trabajadores de TI monitorean su rendimiento, los datos que obtuvo SttyK ofrecen algunas pistas limitadas sobre la vida cotidiana de los estafadores. Una hoja de cálculo enumera un torneo de voleibol que los trabajadores de TI aparentemente habían planeado; en canales de Slack, celebraron cumpleaños y compartieron memes inspiradores de una popular cuenta de Instagram. En algunas grabaciones de pantalla, SttyK comenta, se les puede ver jugando Counter-Strike . "Sentí que había una fuerte unidad entre los miembros", dice SttyK.