Imágenes secretas de un portátil manipulado revelan cómo los espías norcoreanos están burlando a tu equipo de seguridad

Operativos norcoreanos fueron captados en cámara, en vivo, después de que investigadores de seguridad los atrajeran a un “portátil de desarrollador” lleno de trampas, capturando cómo el grupo vinculado a Lazarus intentó infiltrarse en el proceso de contratación de empleos cripto en EE. UU. utilizando herramientas legítimas de contratación con IA y servicios en la nube.

La evolución del cibercrimen patrocinado por el Estado fue supuestamente capturada en tiempo real por investigadores de BCA LTD, NorthScan y la plataforma de análisis de malware ANY.RUN.

Capturando al atacante norcoreano

Hacker News compartió cómo, en una operación coordinada, el equipo desplegó un “honeypot”, que es un entorno de vigilancia disfrazado como el portátil legítimo de un desarrollador, para atraer al grupo Lazarus.

Las imágenes resultantes ofrecen a la industria la visión más clara hasta la fecha de cómo las unidades norcoreanas, específicamente la división Famous Chollima, están eludiendo los firewalls tradicionales simplemente siendo contratados por el departamento de recursos humanos del objetivo.

La operación comenzó cuando los investigadores crearon una identidad de desarrollador y aceptaron una solicitud de entrevista de un reclutador con el alias “Aaron”. En lugar de desplegar una carga útil de malware estándar, el reclutador orientó al objetivo hacia un acuerdo de empleo remoto común en el sector Web3.

Cuando los investigadores concedieron acceso al “portátil”, que en realidad era una máquina virtual fuertemente monitorizada diseñada para imitar una estación de trabajo basada en EE. UU., los operativos no intentaron explotar vulnerabilidades de código.

En cambio, se centraron en establecer su presencia como empleados aparentemente ejemplares.

Construyendo confianza

Una vez dentro del entorno controlado, los operativos demostraron un flujo de trabajo optimizado para integrarse en lugar de infiltrarse.

Utilizaron software legítimo de automatización de empleo, incluyendo Simplify Copilot y AiApply, para generar respuestas pulidas a entrevistas y completar formularios de solicitud a gran escala.

Este uso de herramientas de productividad occidentales resalta una escalada preocupante, mostrando que actores estatales están aprovechando las mismas tecnologías de IA diseñadas para agilizar la contratación corporativa para derrotarlas.

La investigación reveló que los atacantes redirigieron su tráfico a través de Astrill VPN para ocultar su ubicación y utilizaron servicios basados en navegador para gestionar códigos de autenticación de dos factores asociados con identidades robadas.

El objetivo final no era la destrucción inmediata, sino el acceso a largo plazo. Los operativos configuraron Google Remote Desktop mediante PowerShell con un PIN fijo, asegurando que pudieran mantener el control de la máquina incluso si el anfitrión intentaba revocar privilegios.

Así, sus comandos eran administrativos, ejecutando diagnósticos del sistema para validar el hardware.

Esencialmente, no intentaban vulnerar una wallet de inmediato.

En cambio, los norcoreanos buscaban establecerse como personas de confianza dentro de la organización, posicionándose para acceder a repositorios internos y paneles en la nube.

Una fuente de ingresos de mil millones de dólares

Este incidente forma parte de un complejo industrial más amplio que ha convertido el fraude laboral en un motor principal de ingresos para el régimen sancionado.

El Multilateral Sanctions Monitoring Team estimó recientemente que los grupos vinculados a Pyongyang robaron aproximadamente $2.83 billions en activos digitales entre 2024 y septiembre de 2025.

Esta cifra, que representa aproximadamente un tercio de los ingresos en moneda extranjera de Corea del Norte, sugiere que el ciberrobo se ha convertido en una estrategia económica soberana.

La eficacia de este vector de ataque de “capa humana” quedó devastadoramente demostrada en febrero de 2025 durante la brecha en el exchange Bybit.

En ese incidente, los atacantes atribuidos al grupo TraderTraitor utilizaron credenciales internas comprometidas para disfrazar transferencias externas como movimientos internos de activos, logrando finalmente el control de un smart contract de cold-wallet.

La crisis de cumplimiento

El cambio hacia la ingeniería social crea una grave crisis de responsabilidad para la industria de los activos digitales.

A principios de este año, firmas de seguridad como Huntress y Silent Push documentaron redes de empresas pantalla, incluyendo BlockNovas y SoftGlide, que poseen registros corporativos válidos en EE. UU. y perfiles creíbles en LinkedIn.

Estas entidades logran inducir a desarrolladores a instalar scripts maliciosos bajo el pretexto de evaluaciones técnicas.

Para los oficiales de cumplimiento y los Chief Information Security Officers, el desafío ha mutado. Los protocolos tradicionales de Know Your Customer (KYC) se centran en el cliente, pero el flujo de trabajo de Lazarus exige un estándar riguroso de “Know Your Employee”.

El Department of Justice ya ha comenzado a tomar medidas, incautando $7.74 millones vinculados a estos esquemas de TI, pero el retraso en la detección sigue siendo alto.

Como demuestra la operación de BCA LTD, la única forma de atrapar a estos actores puede ser pasar de la defensa pasiva a la decepción activa, creando entornos controlados que obliguen a los actores de amenazas a revelar sus técnicas antes de que se les entreguen las llaves del tesoro.

El artículo Secret footage from a rigged laptop exposes how North Korean spies are slipping past your security team apareció primero en CryptoSlate.