Dos hombres de Nueva Jersey fueron sentenciado el miércoles por facilitar el plan de larga duración de Corea del Norte para colocar a operativos dentro de empresas estadounidenses como empleados, generando más de 5 millones de dólares en ingresos ilícitos para el régimen, dijo el Departamento de Justicia.

Los ciudadanos estadounidenses –Kejia Wang, también conocido como Tony Wang, y Zhenxing Wang, también conocido como Danny Wang– fueron parte de una conspiración de años de duración que colocó a agentes en puestos de trabajo en más de 100 empresas estadounidenses, incluidas muchas compañías Fortune 500, con sede en 27 estados y el Distrito de Columbia.

El elaborado plan involucraba empresas fantasma que se hacían pasar por empresas de desarrollo de software, lavado de dinero y espionaje con implicaciones para la seguridad nacional. Los agentes involucrados en la conspiración robaron archivos confidenciales de un contratista de defensa con sede en California relacionados con la tecnología militar estadounidense controlada bajo el Reglamento de Tráfico Internacional de Armas (ITAR), dijeron funcionarios.

«Los trabajadores de TI de la República Popular Democrática de Corea (RPDC) no se limitan a la generación de ingresos. Cuando se les asigna la tarea, pueden operacionalizar su ubicación y acceso para respaldar los requisitos de inteligencia estratégica, incluido el robo de propiedad intelectual, la interrupción de la red o la extorsión», dijo a CyberScoop Michael Barnhart, investigador del estado nacional en DTEX.

Si bien la mayor parte del plan de Corea del Norte se centra en los ingresos, a veces aplica un enfoque de doble uso, asignando a ciertos trabajadores de TI privilegiados actividades maliciosas que ayudan a otros grupos de piratería respaldados por el estado, añadió Barnhart.

«No todos los trabajadores de TI pueden ser piratas informáticos, pero todos los piratas informáticos norcoreanos pueden o han sido trabajadores de TI», dijo. «Esta distinción es importante para el análisis de amenazas internas porque, a diferencia de las típicas contrataciones fraudulentas motivadas por ganancias financieras personales, los trabajadores de TI pueden infligir daños a nivel de seguridad nacional».

Kejia Wang, de 42 años, Zhenzing Wang, de 39, y sus cómplices robaron las identidades de al menos 80 residentes estadounidenses para facilitar la contratación de agentes norcoreanos y recaudaron al menos 696.000 dólares en honorarios combinados, dijeron funcionarios. Las empresas estadounidenses víctimas también incurrieron en honorarios legales, costos de reparación y otros daños y pérdidas superiores a los 3 millones de dólares.

Ambos hombres se declararon previamente culpables de una variedad de delitos. Kejia Wang fue condenada a nueve años de prisión por conspiración para cometer fraude electrónico y postal, blanqueo de dinero y robo de identidad. Zhenxing Wang fue sentenciado a 92 meses de prisión por conspiración para cometer fraude electrónico y postal y lavado de dinero.

A la pareja también se le ordenó perder un total combinado de 600.000 dólares, de los cuales dos tercios ya han sido pagados, dijeron las autoridades.

La conspiración, que se desarrolló al menos desde 2021 hasta octubre de 2024, se basó en parte en empresas fantasma (Hopana Tech, Tony WKJ y Independent Lab), que los hombres crearon para crear la apariencia de negocios legítimos.

«Al combinar a una persona estadounidense, una dirección estadounidense y una empresa fachada como Independent Lab, los facilitadores crearon la ilusión de un esfuerzo interno legítimo que permitía a los trabajadores de TI presentarse como residentes de Estados Unidos sin despertar sospechas durante la incorporación o los flujos de trabajo diarios», dijo Barnhart.

«Las empresas pantalla pueden actuar como ese flujo financiero intermedio desde las empresas víctimas de regreso a las unidades de la RPDC, lo que luego impulsa fondos hacia arriba a través del Partido de los Trabajadores de Corea para apoyar cualquier programa con el que estuviera alineada la unidad, ya sea desarrollo de armas o prioridades internas», añadió.

Estas empresas fachada reflejan un mayor nivel de habilidad que explota un punto débil en las evaluaciones de riesgos internos porque las amenazas no siempre son una persona maliciosa que intenta ingresar a una red, dijo Barnhart. «A veces parece como si toda una empresa pareciera limpia sobre el papel».

Las autoridades han respondido al plan de Corea del Norte apuntando a facilitadores con sede en Estados Unidos que proporcionan identidades falsificadas o robadas y granjas de computadoras portátiles para agentes norcoreanos, y confiscando criptomonedas vinculadas al robo.

Los triunfos en materia de aplicación de la ley se están acumulando, pero los investigadores advierten que la operación de Corea del Norte es masiva y evoluciona constantemente.

La sentencia de Kejia Wang y Zhenxing Wang se produce menos de un mes después de que un trío de hombres estadounidenses fueran sentenciados por delitos similares, incluida la operación de granjas de computadoras portátiles, fraude electrónico y robo de identidad.

Los Departamentos de Justicia y del Tesoro también han emitido acusaciones y sancionado a personas y entidades presuntamente involucradas en el esfuerzo de Corea del Norte de enviar miles de profesionales técnicos especializados fuera del país para conseguir empleos bajo falsos pretextos y canalizar sus salarios de regreso a Pyongyang.

Puede leer las acusaciones completas contra Kejia Wang y Zhenxing Wang a continuación.

Una empresa se despierta con una noticia que afirma que ha sufrido una importante filtración de datos. Los detalles son específicos, técnicos y convincentes. Pero la infracción no se produjo. Ningún sistema se vio comprometido. No se tomaron datos. Un modelo de lenguaje generó la historia completa, completando detalles plausibles desde cero. Y antes de que la empresa pueda descubrir qué está pasando, un periodista de un medio de renombre retoma la historia y solicita comentarios. En cuestión de horas, la empresa está redactando declaraciones y movilizando a su equipo de comunicaciones para abordar un evento ficticio.

Un segundo incidente comienza con algo real. Años antes, una empresa había sufrido una auténtica infracción que recibió una amplia cobertura mediática. El incidente fue investigado, resuelto y cerrado. Luego, uno de los medios que informó originalmente sobre ello rediseñó su sitio web. Los artículos antiguos recibieron nuevas URL y marcas de tiempo actualizadas, y los motores de búsqueda los volvieron a indexar como contenido nuevo. Los agregadores de noticias impulsados ​​por inteligencia artificial captaron la señal y la marcaron como una historia en desarrollo. La empresa se encontró atendiendo consultas sobre un incidente que se había resuelto años antes.

[Ed. note: The authors are withholding full specifics about the incidents because full disclosure could cause harm, yet CyberScoop confirmed with the authors that the incidents did in fact take place].

Un tercer incidente introduce otra dimensión. Una publicación de ciberseguridad publicó una historia sobre un ataque de compromiso de correo electrónico empresarial que le costó a una empresa del Reino Unido cerca de mil millones de libras. El artículo citado un conocido investigador de seguridadpero en realidad no había hablado con la publicación. AI generó las citas, se las asignó con total confianza y la publicación las publicó como si fueran un hecho.

En conjunto, estos tres casos exponen una amenaza para la que la mayoría de las organizaciones aún no se han preparado. La IA ha desarrollado la capacidad de fabricar incidentes de seguridad convincentes a partir de la nada, con detalles técnicos, fuentes nombradas y credibilidad suficiente para desencadenar respuestas a crisis a gran escala. Cualquier organización que trate esto como un problema distante o teórico corre el riesgo de aprender por las malas cuán rápido la ficción generada por IA puede convertirse en una emergencia del mundo real.

La suposición que ya no se cumple

La respuesta a las crisis cibernéticas siempre se ha basado en una premisa simple: sucede algo real y luego se responde. Esa premisa se está rompiendo. Los sistemas de inteligencia artificial ahora generan, amplifican y validan reclamos antes de que los equipos de seguridad confirmen algo. Una vez que una narrativa ingresa al ecosistema, se puede incorporar a fuentes de inteligencia sobre amenazas, plataformas de calificación de riesgos y flujos de trabajo automatizados. La ficción se convierte en señal.

Para los equipos de seguridad, esto crea una nueva clase de falso positivo. No es una alerta ruidosa de una herramienta mal configurada, sino una narrativa externa completamente formada que parece creíble. Una infracción alucinada puede desencadenar investigaciones internas, escalada ejecutiva y acciones defensivas. El tiempo y los recursos se desvían hacia refutar algo que nunca sucedió.

Peor aún, puede influir en el comportamiento de un atacante real. Los actores de amenazas pueden utilizar como pretexto narrativas inventadas sobre violaciones. Los correos electrónicos de phishing que hacen referencia a un «incidente conocido» se vuelven más creíbles. La suplantación de equipos de TI o de respuesta a incidentes se vuelve más efectiva. La narrativa se convierte en parte de la superficie de ataque.

Qué significa esto para los equipos de seguridad

Los equipos de seguridad están acostumbrados a monitorear indicadores de compromiso. Ahora necesitan monitorear los indicadores de narrativa. Los canales de inteligencia de código abierto están cada vez más automatizados. Si esos oleoductos ingieren información falsa, los sistemas posteriores actuarán en consecuencia. Eso incluye el enriquecimiento de SIEM, la puntuación de riesgos de terceros e incluso decisiones de contención automatizadas en algunos entornos.

La implicación práctica es que los equipos de seguridad necesitan visibilidad de cómo se representa externamente su organización, no solo de lo que sucede internamente. Esta no es una inteligencia de amenazas tradicional, pero se comporta como tal. La detección temprana cambia los resultados.

También es necesaria una mayor integración con las comunicaciones. Cuando surge una narrativa falsa, la realidad técnica y la percepción externa divergen. Ambos deben gestionarse en paralelo.

Qué significa esto para los equipos de comunicaciones

Para los equipos de comunicaciones, el cronograma se ha colapsado. Es posible que la primera señal de una “infracción” no provenga del SOC. Puede provenir de un periodista, un cliente o una alerta automática.

El silencio ya no es neutral. Si existe una narrativa, los sistemas de IA llenarán los vacíos con cualquier información disponible. Eso puede reforzar las imprecisiones con cada iteración. Las respuestas deben diseñarse tanto para el consumo de las máquinas como para las audiencias humanas. Lenguaje claro y declarativo. Hechos comprobables. Declaraciones estructuradas que se pueden analizar y reutilizar fácilmente. El objetivo es establecer una presencia competitiva en la cadena de suministro de información.

La preparación se vuelve crítica. Lenguaje preaprobado que se puede implementar rápidamente. Coordinación establecida con el departamento legal y de seguridad antes de que surja algo.

Implicaciones compartidas

Tanto el equipo de seguridad como el de comunicaciones operan ahora en el mismo entorno, lo reconozcan o no. Una infracción alucinada puede desencadenar una verdadera perturbación operativa. Es posible que se interrumpan las relaciones con los proveedores, que se corten las conexiones con sistemas de terceros, que los reguladores se interesen y que los mercados reaccionen. Nada de eso requiere un compromiso real. Y esto crea un circuito de retroalimentación. Las narrativas externas impulsan las acciones internas. Las acciones internas, si son visibles, refuerzan las narrativas externas.

Romper ese círculo requiere velocidad, coordinación y claridad.

Auditorías de IA como mecanismo de control

Uno de los controles más eficaces en este nuevo entorno es la auditoría sistemática de la IA. Probar periódicamente cómo los sistemas de IA describen su organización, su postura de seguridad y cualquier presunto incidente. Esto proporciona visibilidad de lo que las máquinas «creen» antes de que esa creencia se difunda. Permite a las organizaciones identificar y corregir narrativas falsas de manera temprana, antes de que se propaguen a las herramientas, la toma de decisiones y el comportamiento de los atacantes. También destaca dónde debe existir información precisa. No en cualquier lugar en línea, sino en fuentes que los sistemas de inteligencia artificial priorizan.

El cambio de mentalidad

Esto marca un cambio de la respuesta al incidente a la respuesta narrativa. Los equipos de seguridad deben tratar cada alerta como potencialmente inventada. Los equipos de comunicación deben prepararse para narrativas que se formen independientemente de lo que realmente sucedió. Ambos deben operar con el entendimiento de que la percepción por sí sola puede desencadenar consecuencias reales. En este entorno, la capacidad de detectar y responder a narrativas falsas es tan importante como la capacidad de detectar y responder a violaciones reales.

Mary Catherine Sullivan es directora senior de Ciencia de Datos para Digital & Insights, dentro del segmento de Comunicaciones Estratégicas de FTI. Es líder en comunicaciones y ciencia de datos y se especializa en pruebas de mensajes, investigación de audiencias, análisis de comunicaciones digitales y evaluación de riesgos reputacionales. Como parte del equipo de ciencia de datos de FTI Consulting, desarrolla inteligencia artificial, procesamiento de lenguaje natural, aprendizaje automático y modelos estadísticos de última generación para analizar los ecosistemas de medios, el discurso de las partes interesadas y la respuesta de la audiencia, lo que respalda la toma de decisiones informada y defendible para los clientes que navegan en entornos reputacionales complejos.

Brett Callow es asesor senior en Comunicaciones de Ciberseguridad y Privacidad de Datos en FTI Consulting. Con más de dos décadas de conocimiento de la legislación y las políticas de ciberseguridad y una amplia experiencia en comunicaciones de ciberseguridad, la experiencia de Brett es ampliamente reconocida dentro de la industria, por los responsables políticos y los medios de comunicación. Ha estado involucrado en algunos de los incidentes de ransomware más destacados y ha participado en paneles y debates relacionados con políticas, incluso en la Oficina del Director de Inteligencia Nacional y el Instituto Aspen, y ha formado parte de la Junta Asesora del proyecto Ransomware Harms del Royal United Services Institute.

Investigadores de ciberseguridad han desenmascarado un novedoso esquema de fraude publicitario que aprovecha técnicas de envenenamiento de motores de búsqueda (SEO) y contenido generado por inteligencia artificial (IA) para introducir noticias engañosas en el sitio web de Google. Descubre el feed y engañar a los usuarios para que habiliten notificaciones persistentes en el navegador que conducen a scareware y estafas financieras.

La campaña, que se ha descubierto que se dirige a los feeds de contenido personalizados de los usuarios de Android y Chrome, lleva el nombre en código pushpaganda por el equipo de investigación e inteligencia sobre amenazas Satori de HUMAN.

«Esta operación, llamada así por las notificaciones automáticas centrales para el esquema, genera tráfico orgánico no válido desde dispositivos móviles reales al engañar a los usuarios para que se suscriban y activen notificaciones que presentan mensajes alarmantes», investigadores Louisa Abel, Vikas Parthasarathy, João Santos y Adam Sell dicho en un informe compartido con The Hacker News.

En su punto máximo, alrededor de 240 millones de solicitudes de oferta se asociaron con 113 dominios vinculados a la campaña durante un período de siete días. La amenaza, aunque se observó que apuntaba a la India, desde entonces se ha expandido a otras regiones como Estados Unidos, Australia, Canadá, Sudáfrica y el Reino Unido.

Los hallazgos demuestran cómo los actores de amenazas abusan de la IA para secuestrar superficies de descubrimiento confiables y convertirlas en vehículos de entrega de scareware, deepfakes y fraude financiero, dijo Gavin Reid, director de seguridad de la información de HUMAN. Desde entonces, Google ha implementado una solución para solucionar el problema del spam.

Todo el plan depende de que los estafadores atraigan a usuarios desprevenidos a través de Google Discover para engañarlos y hacerles visitar noticias engañosas llenas de contenido generado por IA. Una vez que un usuario llega a uno de los dominios controlados por el actor, se le obliga a habilitar notificaciones automáticas que generan estafas y amenazas legales falsas.

Específicamente, una vez que se hace clic en las notificaciones de scareware, se redirige a los usuarios a sitios adicionales operados por los actores de la amenaza, lo que genera tráfico orgánico a los anuncios integrados en esos sitios y les permite generar ingresos ilícitos.

Esta no es la primera vez que los actores de amenazas utilizan las notificaciones automáticas como arma para redirigir a sitios web sospechosos. En septiembre de 2025, Infoblox arrojó luz sobre un actor de amenazas conocido como Vane Viper que se ha involucrado en un abuso sistemático de notificaciones automáticas para publicar anuncios y facilitar campañas de ingeniería social al estilo ClickFix.

«Las amenazas basadas en malware que involucran notificaciones automáticas, tanto para plataformas web como móviles, no son una amenaza novedosa, especialmente si se considera la forma en que crean una sensación de urgencia», dijo a The Hacker News Lindsay Kaye, vicepresidenta de inteligencia de amenazas de HUMAN Security. «En muchos casos, los usuarios hacen clic rápidamente, ya sea para hacer que desaparezcan o para obtener más información, lo que los convierte en una herramienta eficaz en el arsenal de un autor de malware».

La divulgación también se produce poco más de un mes después de que HUMAN identificara una colección de más de 3.000 dominios y 63 aplicaciones de Android que, según dijo, constituía uno de los mercados de lavado de fraude publicitario más grandes jamás descubierto. Apodado Low5 por su uso de sitios de noticias y juegos basados ​​en HTML5, se ha descubierto que la operación monetiza los dominios como sitios de retiro de dinero para sofisticados esquemas de fraude, incluido BADBOX 2.0.

«La operación alcanzó un máximo de aproximadamente 2 mil millones de solicitudes de ofertas por día y puede haber operado en hasta 40 millones de dispositivos en todo el mundo», dijo la compañía. dicho. «Las aplicaciones asociadas con Low5 incluyen un código que indica a los dispositivos de los usuarios que visiten uno de los dominios conectados con el esquema y hagan clic en los anuncios que se encuentran allí».

Los sitios de retiro de efectivo, también llamados sitios fantasma, se utilizan para realizar fraudes basados ​​en contenido, donde los atacantes utilizan sitios y aplicaciones falsos para vender espacio a anunciantes que pueden asumir que sus anuncios serán vistos por humanos. Las aplicaciones de Android en cuestión se eliminaron de Google Play Store.

«Una capa de monetización compartida que abarca más de 3000 dominios permite que múltiples actores de amenazas se conecten a la misma infraestructura, creando un sistema de lavado distribuido que aumenta la resistencia a las amenazas, complica la atribución y permite una replicación rápida», añadió HUMAN.

«Una conclusión clave de esta investigación es que la infraestructura de monetización puede sobrevivir incluso después de que se cierre una campaña de fraude específica. Si se elimina una aplicación o red de dispositivo malicioso, otros actores aún pueden reutilizar los mismos dominios de retiro. Low5 refuerza la necesidad de una inteligencia de amenazas continua y agresiva y experiencia en detección para buscar dominios de retiro y marcarlos antes de la oferta».

Cuando Google anunció el mes pasado que estaba adelantando su propio cronograma interno para migrar a formas de cifrado resistentes a los cuánticos, inició una conversación más amplia en las comunidades de ciberseguridad y criptografía: ¿qué estaba empujando a una de las empresas tecnológicas más grandes del mundo a acelerar significativamente la adopción de protecciones poscuánticas para sus sistemas, dispositivos y datos?

En las semanas posteriores, nuevas investigaciones han dado peso a esas afirmaciones. Una investigación conjunta papel del Instituto de Tecnología de California, su startup tecnológica Oratomic y la Universidad de California concluyeron que los avances tecnológicos en matrices de átomos neutros indican que una computadora cuántica capaz de romper el cifrado clásico puede requerir tan solo 10.000 bits cuánticos (o qubits), no millones como se pensaba anteriormente.

Qian Xu, investigador de CalTech y coautor del artículo, dijo que los hallazgos son significativos e indican que una computadora de este tipo podría estar operativa a finales de la década.

«Durante décadas, el recuento de qubits ha sido visto como el principal obstáculo para la computación cuántica tolerante a fallos», dijo Xu en un comunicado. «Espero que nuestro trabajo ayude a cambiar esa perspectiva».

de google División de IA cuántica publicó su propio artículo de investigación casi al mismo tiempo, esbozando un disminución de veinte veces en la cantidad de qubits físicos que se cree que son necesarios para romper algunas de las formas más populares de algoritmos de cifrado de curva elíptica de 256 bits que se utilizan actualmente para proteger las criptomonedas.

“Observamos que si bien soluciones viables como [post-quantum cryptography] existen, tomará tiempo implementarlos, lo que genera una urgencia cada vez mayor para actuar”, escribieron Ryan Babbush, director de investigación y Hartmut Neven, vicepresidente de ingeniería de Google.

La decisión de Google de acelerar su cambio hacia el cifrado poscuántico refleja un consenso cada vez mayor. Durante el año pasado, CyberScoop escuchó preocupaciones similares de funcionarios gubernamentales y tecnológicos, generalmente centradas en dos amenazas relacionadas con la cuántica que enfrentan los gobiernos y las empresas en la actualidad.

Una es la capacidad de naciones extranjeras y ciberdelincuentes de recopilar datos confidenciales y cifrados hoy con la esperanza de descifrarlos más adelante con una computadora cuántica. Esta técnica de “cosechar ahora, descifrar después” es una de las principales razones por las que los defensores impulsan una adopción más rápida del cifrado poscuántico.

El segundo surge de una serie de avances notables en la computación cuántica ocurridos en los últimos dos años, muchos de ellos liderados por investigadores en China.

Andrew McLaughlin, director de operaciones de Sandbox AQ, una empresa de computación en la nube que se centra en la aplicación de tecnologías de inteligencia artificial y computación cuántica, dijo que las preocupaciones se pueden resumir en “hardware, matemáticas y China”.

Los avances en áreas como las matrices de átomos neutros han proporcionado a los científicos hardware más potente, mientras que avances en matemáticas como el del artículo de investigación de Google han encontrado formas de utilizar ese hardware de manera más eficiente.

Pero también señaló lo que describió como avances emocionantes (y preocupantes) en el campo por parte de algunos de los mayores rivales internacionales de Estados Unidos.

Beijing tiene invirtió mucho en computación cuántica, brindando a científicos de primer nivel como Pan Jianwei, profesor de la Universidad de Ciencia y Tecnología de China, los recursos y el apoyo para empujar los límites del desarrollo tecnológico y posicionar a China como líder mundial en ciencia cuántica.

A finales del año pasado, los medios estatales chinos reportado que Huanyuan 1, una computadora cuántica de 100 qubits desarrollada por investigadores de la Universidad de Wuhan en un programa de subvenciones del gobierno chino, había sido aprobada para uso comercial. Los informes afirman que ya se han procesado pedidos por valor de más de 40 millones de yuanes (o 5,6 millones de dólares) en ventas, incluso a las filiales de la empresa de telecomunicaciones nacional China Mobile y al gobierno de Pakistán.

Los expertos dicen que las computadoras cuánticas representan una amenaza potencialmente excepcional para las criptomonedas basadas en blockchain.

Nathaniel Szerezla, director de crecimiento de Naoris Protocol, una empresa que desarrolla cifrado resistente a los cuánticos para la infraestructura blockchain, dijo que el documento de Oratomic y Caltech ha «cambiado el cronograma» para la planificación en torno al cifrado cuántico, particularmente para las plataformas de criptomonedas y blockchain.

La suposición subyacente era que una computadora cuántica «tolerante a fallas» (es decir, una capaz de amenazar el cifrado clásico) requeriría millones de qubits, pero el artículo sugiere que en realidad sólo necesitaría tan solo 10.000 qubits.

«En última instancia, hemos pasado de planificar una amenaza durante dos décadas a una que se superpone con sistemas que se están implementando y financiando activamente», dijo Szerezla.

Para los activos digitales como las criptomonedas, las implicaciones son “inmediatas” porque el cifrado de clave privada que sustenta miles de millones de dólares en la cadena de bloques nunca fue diseñado para resistir ataques de una computadora cuántica.

«Migrar una cadena de bloques en vivo a estándares poscuánticos es un problema completamente diferente de actualizar un sistema centralizado», continuó Szerezla. «Se trata de libros de contabilidad inmutables, miles de millones de dólares en liquidez bloqueada y una gobernanza descentralizada que no puede exigir una actualización coordinada».

No todo el mundo cree que estemos al borde de un apocalipsis de la piratería cuántica.

En BlueSky Matthew Green, profesor de informática y experto en criptografía de la Universidad Johns Hopkins, llamado Los artículos de Google y Oratomic son un buen análisis “precautorio” del desafío a largo plazo del cifrado cuántico.

Sin embargo, expresó escepticismo en cuanto a que la computación cuántica tuviera suficientes “aplicaciones inmediatas y lucrativas” para impulsar el campo más allá de su etapa de investigación fundamental hacia aplicaciones más prácticas. También cuestionó si algunos de los algoritmos más nuevos resistentes a los cuánticos examinados por el NIST realmente resistirían a una computadora cuántica real. Fueron diseñados para proteger contra una amenaza que todavía es en gran medida teórica, y varios de los algoritmos poscuánticos inicialmente evaluados por el NIST resultaron contener vulnerabilidades que podrían ser explotadas por computadoras clásicas.

Eso, si es que realmente se llega en la próxima década. Green dijo esta semana que no está convencido de que los hacks cuánticos sean algo de qué preocuparse durante su vida, aunque reconoció que la predicción podría «perseguirlo» algún día.

Sin embargo, «apostaría enormes cantidades de dinero contra una computadora cuántica relevante para 2029 o incluso 2035», escribió.

La reciente operación dirigida por el FBI para expulsar a los piratas informáticos del gobierno ruso de los enrutadores buscaba derribar una campaña de ciberespionaje especialmente insidiosa y amenazadoramente contagiosa, dijo a CyberScoop el principal funcionario cibernético de la oficina, Brett Leatherman.

Los investigadores, junto con agencias gubernamentales estadounidenses y extranjeras, revelaron detalles de la campaña esta semana mediante la cual APT28, también conocido como Forest Blizzard o Fancy Bear, y atribuido a la Dirección Principal de Inteligencia del Estado Mayor (GRU) de Rusia, comprometió más de 18.000 enrutadores TP-Link y se infiltró en más de 200 organizaciones en todo el mundo.

El compromiso de los enrutadores utilizados en oficinas pequeñas y domésticas provocó la operación de eliminación, Operación Mascarada, que implicó enviar comandos a los enrutadores para restablecer la configuración del Sistema de nombres de dominio (DNS) para evitar que los piratas informáticos explotaran ese acceso.

«Lo que es único para mí en este caso es que cuando cambias la configuración de Internet en un enrutador como lo hicieron ellos, se propaga a todos los dispositivos de tu casa», dijo Leatherman, subdirector de la división cibernética del FBI. «Todos esos dispositivos ahora, una vez que están conectados a esa Wi-Fi, obtienen direcciones IP maliciosas a través de las cuales luego enrutan su tráfico, y esto le da al GRU ruso un tremendo acceso al contenido ofrecido a través de un enrutador».

«La dificultad de un ataque como éste es que es prácticamente invisible para los usuarios finales», afirmó. «Los actores no estaban implementando malware como vemos a menudo. Entonces, cuando piensas en la detección de puntos finales en tu computadora o algo así, no ven esa actividad porque no es necesario. Están usando las herramientas en el enrutador para capturar el tráfico de Internet y extenderlo por toda la casa, y las herramientas tradicionales que detectan esa actividad». [are] simplemente no está allí”.

La operación de interrupción está en línea con la estrategia cibernética que la administración Trump publicó el mes pasado, con su énfasis en atacar a los piratas informáticos maliciosos y proteger la infraestructura crítica, dijo Leatherman.

El FBI comprende su papel en la implementación de esa estrategia, dijo, y trabajó con la Oficina del Director Nacional Cibernético y otras agencias para desarrollarla. La Casa Blanca ha mantenido al público y colina del capitolio Sin embargo, no sabemos nada sobre la implementación de la estrategia.

«Tenemos un largo historial de aprovechar autoridades y capacidades únicas para contrarrestar a estos actores, imponer costos y, a través de las 56 oficinas de campo, defender realmente la infraestructura crítica», dijo Leatherman. «Eso es realmente parte de nuestro ADN. Y por eso queremos asegurarnos de continuar alineándolo de la manera más escalable y ágil que podamos, para alinearnos con las prioridades de la estrategia misma».

Leatherman rastreó cómo la Operación Mascarada, cuyo éxito atribuyó a las oficinas del FBI en Boston y a las asociaciones con el sector privado y gobiernos extranjeros, encaja en una serie de perturbaciones dirigidas a los piratas informáticos del gobierno ruso que se remontan a 2018.

Fue entonces cuando la oficina atacó la botnet VPNFilter al apoderarse de un dominio utilizado para comunicarse con enrutadores infectados. En 2022, el FBI se enfrentó a la botnet Cyclops Blink y, en 2024, la Operación Dying Ember fue tras otra red de robots.

«En el transcurso de esas cuatro operaciones, mientras el adversario continuó evolucionando en su oficio, nosotros también», dijo Leatherman. «Pasamos de simplemente bloquear dominios a tomar medidas que los bloquean en la puerta de estos enrutadores, les quitamos cualquier capacidad a esos enrutadores para que ya no pudieran recopilar información confidencial y luego les prohibimos volver a ingresar».

Atacantes patrocinados por el Estado ruso comprometieron más de 18.000 enrutadores repartidos en más de 120 países para obtener un acceso más profundo a redes sensibles para una campaña de espionaje a gran escala antes de que fuera neutralizada recientemente, dijeron investigadores y autoridades el martes.

Forest Blizzard, también conocido como APT28 y Fancy Bear, aprovechó vulnerabilidades conocidas para robar credenciales de miles de enrutadores TP-Link globalmente. El grupo de amenazas, que se atribuye a la Unidad Militar 26165 de la Dirección Principal de Inteligencia del Estado Mayor General (GRU) de Rusia, secuestró la configuración del sistema de nombres de dominio y robó credenciales y tokens adicionales a través del tráfico redirigido, dijo el Departamento de Justicia.

El grupo de amenazas estableció una extensa red de espionaje mediante sistemas intrusos de más de 200 organizacionesafectando al menos a 5.000 dispositivos de consumo, dijo Microsoft Threat Intelligence en un informe.

Operación Mascarada, una operación de derribo colaborativa dirigida por el FBI, con la ayuda de fiscales federales, la sección Cibernética de Seguridad Nacional de la División de Seguridad Nacional, Laboratorios del Loto Negro de Lumen y Microsoft Threat Intelligence, implicó una serie de comandos diseñados para restablecer la configuración de DNS y evitar que el grupo de amenazas explote aún más su medio de acceso inicial.

«Los actores del GRU comprometieron enrutadores en Estados Unidos y en todo el mundo, secuestrándolos para realizar espionaje. Dada la escala de esta amenaza, hacer sonar la alarma no fue suficiente», dijo en un comunicado Brett Leatherman, subdirector de la división cibernética del FBI. «El FBI llevó a cabo una operación autorizada por el tribunal para reforzar los enrutadores comprometidos en todo Estados Unidos».

La campaña generalizada de Forest Blizzard involucró ataques de adversario intermedio contra dominios que imitaban servicios legítimos, incluido Microsoft Outlook Web Access. Esto permitió a los atacantes interceptar contraseñas, tokens de OAuth, credenciales de cuentas de Microsoft y otros servicios y contenido alojado en la nube.

Microsoft insiste en que los activos o servicios de propiedad de la empresa no se vieron comprometidos como parte de la campaña.

El grupo de amenazas apuntó a dispositivos de borde de red, incluidos enrutadores TP-Link y MicroTik, de manera oportunista antes de identificar objetivos sensibles de interés de inteligencia para el gobierno ruso, incluidas personas en los sectores militar, gubernamental y de infraestructura crítica.

Las víctimas, según los investigadores, incluyen agencias gubernamentales y organizaciones de los sectores de TI, telecomunicaciones y energía. Lumen identificó a otras víctimas asociadas con el gobierno de Afganistán y otras vinculadas con asuntos exteriores y agencias nacionales de aplicación de la ley en el norte de África, América Central y el sudeste asiático. La plataforma de identidad nacional de un país europeo anónimo también se vio afectada, dijo la compañía.

Lumen no encontró evidencia de ninguna agencia gubernamental estadounidense comprometida como parte de esta campaña, pero advirtió que la actividad representa una grave amenaza a la seguridad nacional.

Si bien el alcance total de los logros de Forest Blizzard sigue bajo investigación, los investigadores confían en que la difusión de información confidencial se ha detenido.

«La campaña ha cesado», dijo a CyberScoop Danny Adamitis, distinguido ingeniero de Black Lotus Labs. «Hemos observado una disminución gradual en las comunicaciones asociadas con esta infraestructura durante las últimas semanas».

Lumen dijo que observó una explotación generalizada de enrutadores y redirección de DNS a partir de agosto, el día después de que el Centro Nacional de Seguridad Cibernética del Reino Unido publicara un informe de análisis de malware sobre una herramienta utilizada para robar credenciales de Microsoft Office. El NCSC del Reino Unido publicó el martes detalles sobre La campaña de secuestro de DNS de APT28incluidos indicadores de compromiso.

El Departamento de Justicia y el FBI, actuando por orden judicial, remediaron los enrutadores comprometidos en los Estados Unidos después de recopilar evidencia sobre la actividad de Forest Blizzard. El FBI dijo que el GRU de Rusia utilizó enrutadores propiedad de estadounidenses en más de 23 estados para robar información confidencial gubernamental, militar y de infraestructura crítica.

Las principales empresas de tecnología han unido fuerzas en un esfuerzo por utilizar inteligencia artificial avanzada para identificar y abordar fallas de seguridad en los sistemas de software más críticos del mundo, lo que marca un cambio significativo en la forma en que la industria aborda las amenazas de ciberseguridad.

Anthropic anunció el martes el Proyecto Glasswing, que reúne a Amazon, Apple, Broadcom, Cisco, CrowdStrike, Linux Foundation, Microsoft y Palo Alto Networks. La iniciativa se centra en Claude Mythos Preview, un modelo de IA inédito que Anthropic pondrá a disposición exclusivamente de los socios del proyecto y aproximadamente 40 organizaciones adicionales responsables de la infraestructura de software crítica.

Según Anthropic, el modelo ya ha identificado miles de vulnerabilidades previamente desconocidas en su fase de prueba inicial, incluidas fallas de seguridad que han existido en sistemas ampliamente utilizados durante décadas. Entre los descubrimientos se encuentra un error de hace 27 años en OpenBSDun sistema operativo conocido principalmente por su enfoque en la seguridad, y una vulnerabilidad de 16 años en FFmpegun programa de software de vídeo ampliamente utilizado que las herramientas de prueba automatizadas no pudieron detectar a pesar de ejecutar la línea de código afectada cinco millones de veces. La empresa se ha puesto en contacto con los encargados del mantenimiento del software correspondiente y se han solucionado todas las vulnerabilidades encontradas.

Anthropic comprometerá hasta 100 millones de dólares en créditos de uso para el proyecto, junto con 4 millones de dólares en donaciones directas a organizaciones de seguridad de código abierto. La compañía ha declarado que no planea poner Mythos Preview a disposición del público en general, citando preocupaciones sobre el posible mal uso del modelo.

La iniciativa refleja la creciente preocupación dentro del sector tecnológico sobre la naturaleza de doble uso de los sistemas avanzados de IA. Si bien Mythos Preview no fue capacitado específicamente para fines de ciberseguridad, sus capacidades de codificación y razonamiento han demostrado ser efectivas para identificar fallas de seguridad sutiles que han eludido a los analistas humanos y las herramientas automatizadas convencionales.

«Aunque los riesgos de los ciberataques potenciados por la IA son graves, hay motivos para el optimismo: las mismas capacidades que hacen que los modelos de IA sean peligrosos en las manos equivocadas los hacen invaluables para encontrar y corregir fallas en software importante y para producir software nuevo con muchos menos errores de seguridad», dijo la compañía. en una publicación de blog. «El Proyecto Glasswing es un paso importante para brindar a los defensores una ventaja duradera en la próxima era de ciberseguridad impulsada por la IA».

El proyecto surge cuando la industria ha predicho que capacidades similares de IA pronto se generalizarán. Los ejecutivos de Anthropic han indicado que sin una acción coordinada, dichas herramientas podrían eventualmente llegar a actores que podrían implementarlas con fines maliciosos en lugar de trabajos de seguridad defensiva.

Las organizaciones participantes deberán compartir sus hallazgos con la industria en general. El proyecto pone especial énfasis en el software de código abierto, que forma la base de la mayoría de los sistemas modernos, incluida la infraestructura crítica, pero cuyos mantenedores históricamente han carecido de acceso a recursos de seguridad sofisticados.

«El software de código abierto constituye la gran mayoría del código en los sistemas modernos, incluidos los mismos sistemas que los agentes de IA utilizan para escribir nuevo software. Al brindar a los mantenedores de estas bases de código abierto críticas acceso a una nueva generación de modelos de IA que pueden identificar y corregir de manera proactiva vulnerabilidades a escala, el Proyecto Glasswing ofrece un camino creíble para cambiar esa ecuación», dijo Jim Zemlin, director ejecutivo de la Fundación Linux. «Así es como la seguridad aumentada por IA puede convertirse en un compañero confiable para todos los encargados del mantenimiento, no solo para aquellos que pueden permitirse costosos equipos de seguridad».

Además, Anthropic dice que ha entablado conversaciones en curso con funcionarios del gobierno de EE. UU. sobre las capacidades de Mythos Preview. La compañía ha enmarcado el proyecto en términos de seguridad nacional, argumentando que mantener el liderazgo en tecnología de inteligencia artificial representa una prioridad estratégica para Estados Unidos y sus aliados. Antrópico ha sido atrapado en una disputa de alto riesgo con el Departamento de Defensa sobre el uso por parte del ejército estadounidense del modelo Claude AI de la startup en operaciones del mundo real.

El éxito del proyecto dependerá en parte de si el enfoque colaborativo puede seguir el ritmo de los rápidos avances en las capacidades de IA. Anthropic ha indicado que es probable que los sistemas fronterizos de inteligencia artificial avancen sustancialmente en unos meses, creando potencialmente un entorno dinámico donde las capacidades defensivas y ofensivas evolucionan en paralelo.

«El Proyecto Glasswing es un punto de partida», escribió Anthropic en una publicación de blog. «Ninguna organización puede resolver estos problemas de ciberseguridad por sí sola: los desarrolladores de IA de vanguardia, otras empresas de software, los investigadores de seguridad, los mantenedores de código abierto y los gobiernos de todo el mundo tienen roles esenciales que desempeñar. El trabajo de defender la ciberinfraestructura mundial podría llevar años; es probable que las capacidades de IA de vanguardia avancen sustancialmente en los próximos meses. Para que los ciberdefensores salgan adelante, debemos actuar ahora».

El ciberdelito sigue siendo un negocio en auge.

Las pérdidas anuales por delitos cibernéticos ascendieron a casi 20.900 millones de dólares el año pasado, lo que refleja un aumento del 26% desde 2024, dijo el Centro de Quejas de Delitos en Internet (IC3) del FBI en su informe. informe anual Martes.

El estudio exhaustivo expone un entorno de delincuencia digital que empeora y que está generando pérdidas financieras, con un impulso que avanza en la dirección equivocada y se agrava a un ritmo alarmante. Las pérdidas anuales por delitos cibernéticos han aumentado casi un 400% desde los 4.200 millones de dólares en 2020, y las pérdidas acumuladas en ese período de cinco años superaron los 71.300 millones de dólares.

El IC3 del FBI, que se formó como el centro central del país para informar sobre delitos cibernéticos en 2000, está más ocupado que nunca. «Ahora tenemos un promedio de casi 3.000 quejas por día», escribió en el informe José Pérez, director de operaciones del FBI para su rama criminal y cibernética.

El informe anual sobre delitos en Internet destaca tendencias crecientes y sostenidas. Sin embargo, el alcance del estudio es limitado y se basa enteramente en incidentes de delitos cibernéticos presentados al FBI.

El impacto total del delito cibernético sigue siendo turbio, ya que un número desconocido de víctimas sufren en las sombras y nunca denuncian los delitos que sufren.

El FBI recibió más de 1 millón de quejas el año pasado, y las víctimas mayores de 60 años reportaron la mayor cantidad de delitos que también resultaron en la mayor cantidad de pérdidas totales por grupo de edad. Las víctimas de al menos 60 años presentaron 201.000 quejas con pérdidas por un total de casi 7.750 millones de dólares, o alrededor del 37% de todas las pérdidas relacionadas con los delitos cibernéticos el año pasado.

El fraude relacionado con inversiones siguió siendo el mayor componente de las pérdidas por delitos cibernéticos en 2025, alcanzando casi 8.650 millones de dólares. Las amenazas de correo electrónico empresarial ocuparon el segundo lugar con casi 3.050 millones de dólares en pérdidas, seguidas por las estafas de soporte técnico con más de 2.100 millones de dólares.

Según el informe, las criptomonedas fueron el principal conducto para el fraude relacionado con estafas de inversión y soporte técnico el año pasado, mientras que las transferencias electrónicas constituyeron la mayor parte del fraude resultante de la vulneración del correo electrónico empresarial.

El phishing fue el tipo de delito cibernético más comúnmente denunciado el año pasado, seguido de la extorsión, las estafas de inversión y las violaciones de datos personales. El FBI contabilizó pérdidas por valor de 122,5 millones de dólares por extorsión y 32,3 millones de dólares por ransomware el año pasado.

El FBI también recibió más de 75.000 informes de sextorsión el año pasado, incluidas más de 5.700 presentaciones que fueron remitidas al Centro Nacional para Niños Desaparecidos y Explotados.

Las cinco principales amenazas cibernéticas reportadas a IC3 en 2025 incluyeron violaciones de datos con un 39%, ransomware con un 36%, intercambio de SIM con un 10%, malware con un 9% y botnets con un 7%.

El FBI recibió más de 3.600 quejas sobre ransomware el año pasado. Las cinco variantes más reportadas incluyeron Akira, Qilin, INC, BianLian y Play.

Cada uno de los 16 sectores de infraestructura crítica reportaron ataques de ransomware el año pasado, y los más atacados incluyeron atención médica, manufactura, servicios financieros, gobierno y TI.

El IC3 recibe principalmente quejas de residentes y empresas estadounidenses, pero también recibió quejas de más de 200 países el año pasado, lo que representó casi 1.600 millones de dólares en pérdidas totales.

Si bien las pérdidas y la gran cantidad de delitos cibernéticos continuaron aumentando el año pasado, “el FBI continúa perturbando y disuadiendo a los actores cibernéticos maliciosos y trasladando el costo de las víctimas a nuestros adversarios”, escribió Pérez en el informe.

«Nunca ha sido más importante ser diligente con la ciberseguridad, la huella en las redes sociales y las interacciones electrónicas», añadió. «Las amenazas cibernéticas y los delitos cibernéticos seguirán evolucionando a medida que el mundo adopte tecnologías emergentes como la inteligencia artificial».

La deriva tiene reveló que el ataque del 1 de abril de 2026 que condujo al robo de 285 millones de dólares fue la culminación de una operación de ingeniería social selectiva y meticulosamente planificada de meses de duración emprendida por la República Popular Democrática de Corea (RPDC) que comenzó en el otoño de 2025.

El intercambio descentralizado con sede en Solana lo describió como «un ataque que lleva seis meses en desarrollo», y lo atribuyó con confianza media a un grupo de piratería patrocinado por el estado de Corea del Norte llamado UNC4736que también se rastrea bajo los ciptónimos AppleJeus, Citrine Sleet, Golden Chollima y Gleaming Pisces.

El actor de amenazas tiene un historial de atacar el sector de las criptomonedas por robo financiero desde al menos 2018. Es más conocido por la violación de la cadena de suministro de X_TRADER/3CX en 2023 y el hackeo de 53 millones de dólares de la plataforma de finanzas descentralizadas (DeFi). Capital Radiante en octubre de 2024.

«La base de esta conexión es tanto en cadena (los flujos de fondos utilizados para organizar y probar esta operación se remontan a los atacantes de Radiant) como operativa (las personas desplegadas en esta campaña tienen superposiciones identificables con actividades conocidas vinculadas a la RPDC)», dijo Drift en un análisis del domingo.

En una evaluación publicada a finales de enero de 2026, la empresa de ciberseguridad CrowdStrike describió a Golden Chollima como una rama de Labyrinth Chollima que está orientada principalmente al robo de criptomonedas y apunta a pequeñas empresas de tecnología financiera en EE. UU., Canadá, Corea del Sur, India y Europa occidental.

«El adversario normalmente lleva a cabo robos de menor valor a un ritmo operativo más consistente, lo que sugiere la responsabilidad de garantizar la generación de ingresos básicos para el régimen de la RPDC», dijo CrowdStrike. «A pesar de mejorar las relaciones comerciales con Rusia, la RPDC necesita ingresos adicionales para financiar ambiciosos planes militares que incluyen la construcción de nuevos destructores, la construcción de submarinos de propulsión nuclear y el lanzamiento de satélites de reconocimiento adicionales».

En al menos un incidente observado a finales de 2024, UNC4736 entregó paquetes Python maliciosos mediante un plan de contratación fraudulento a una empresa europea de tecnología financiera. Al obtener acceso, el actor de amenazas se movió lateralmente al entorno de nube de la víctima para acceder a las configuraciones de IAM y los recursos de nube asociados y, en última instancia, desvió los activos de criptomonedas a billeteras controladas por el adversario.

Cómo probablemente se desarrolló el ataque a la deriva

Drift, que está trabajando con las fuerzas del orden y socios forenses para reconstruir la secuencia de eventos que llevaron al ataque, dijo que era el objetivo de una «operación de inteligencia estructurada» que requirió meses de planificación.

A partir del otoño de 2025 o alrededor de esa fecha, personas que se hacían pasar por una empresa comercial cuantitativa se acercaron a los contribuyentes de Drift en una importante conferencia sobre criptomonedas y conferencias internacionales sobre criptomonedas con el pretexto de integrar el protocolo. Desde entonces, se supo que se trataba de un enfoque deliberado, en el que los miembros de este grupo comercial se acercaron y establecieron una buena relación con contribuyentes específicos de Drift en varias conferencias importantes de la industria que tuvieron lugar en varios países durante un período de seis meses.

«Los individuos que aparecieron en persona no eran ciudadanos norcoreanos», explicó Drift. «Se sabe que los actores de amenazas de la RPDC que operan a este nivel utilizan intermediarios externos para construir relaciones cara a cara».

«Eran técnicamente fluidos, tenían antecedentes profesionales verificables y estaban familiarizados con cómo operaba Drift. Se estableció un grupo de Telegram en la primera reunión, y lo que siguió fueron meses de conversaciones sustanciales sobre estrategias comerciales y posibles integraciones de bóvedas. Estas interacciones son típicas de cómo las empresas comerciales interactúan y se incorporan a Drift».

Luego, en algún momento entre diciembre de 2025 y enero de 2026, el grupo incorporó un Ecosystem Vault en Drift, un paso que requirió completar un formulario con detalles de la estrategia. Como parte de este proceso, se dice que las personas se comunicaron con múltiples contribuyentes, les hicieron «preguntas detalladas e informadas sobre el producto», mientras depositaban más de $ 1 millón de sus propios fondos.

Esto, dijo Drift, fue un movimiento calculado diseñado para construir una presencia operativa funcional dentro del ecosistema Drift, con conversaciones de integración que continuaron con los contribuyentes hasta febrero y marzo de 2026. Esto incluyó compartir enlaces para proyectos, herramientas y aplicaciones que la compañía afirmó estar desarrollando.

La posibilidad de que estas interacciones con el grupo comercial hayan actuado como la vía de infección inicial adquirió importancia tras el ataque del 1 de abril. Pero como reveló Drift, sus chats de Telegram y el software malicioso se eliminaron justo en el momento en que ocurrió el ataque.

Se sospecha que puede haber dos vectores de ataque principales:

• Es posible que un colaborador se haya visto comprometido después de clonar un repositorio de código compartido por el grupo como parte de los esfuerzos para implementar una interfaz para su bóveda.
• Se convenció a un segundo colaborador para que descargara un producto de billetera a través de TestFlight de Apple para realizar una prueba beta de la aplicación.

Se considera que el vector de intrusión basado en repositorio involucró un proyecto malicioso de Microsoft Visual Studio Code (VS Code) que utiliza el archivo «tasks.json» como arma para desencadenar automáticamente la ejecución de código malicioso en el proyecto en el IDE mediante el uso de la opción «runOn:folderOpen».

Vale la pena señalar que esta técnica ha sido adoptado por los actores de amenazas norcoreanos asociados con la campaña Contagious Interview desde diciembre de 2025, lo que llevó a Microsoft a introducir nuevos controles de seguridad en las versiones 1.109 y 1.110 de VS Code para evitar la ejecución involuntaria de tareas al abrir un espacio de trabajo.

«La investigación ha demostrado hasta ahora que los perfiles utilizados en esta operación dirigida por terceros tenían identidades completamente construidas, incluidos historiales laborales, credenciales públicas y redes profesionales», dijo Drift. «Las personas que los colaboradores de Drift conocieron en persona parecían haber pasado meses creando perfiles, tanto personales como profesionales, que pudieran resistir el escrutinio durante una relación comercial o de contraparte».

El ecosistema de malware fragmentado de Corea del Norte

La divulgación se produce cuando DomainTools Investigations (DTI) reveló que el aparato cibernético de la RPDC ha evolucionado hasta convertirse en un ecosistema de malware «deliberadamente fragmentado» que está impulsado por una misión, operativamente resiliente y resistente a los esfuerzos de atribución. Se cree que este cambio es una respuesta a las acciones policiales y a las revelaciones de inteligencia sobre las campañas de piratería informática de Corea del Norte.

«El desarrollo y las operaciones de malware están cada vez más compartimentados, tanto técnica como organizativamente, lo que garantiza que la exposición en un área de la misión no se extienda a todo el programa», dijo DTI. dicho. «Lo más importante es que este modelo también maximiza la ambigüedad. Al separar las herramientas, la infraestructura y los patrones operativos según las líneas de la misión, la RPDC complica la atribución y ralentiza la toma de decisiones de los defensores».

Con ese fin, DomainTools señaló que el malware orientado al espionaje de la RPDC está asociado principalmente con Kimsuky, mientras que Lazarus Group encabeza los esfuerzos para generar ingresos ilícitos para el régimen, transformándose en un «pilar central» para la evasión de sanciones. La tercera vía gira en torno a la implementación de ransomware y malware de limpieza con fines de señalización estratégica y llamar la atención sobre sus capacidades. Esta rama disruptiva está asociada a Andariel.

La ingeniería social detrás de las entrevistas contagiosas y el fraude de los trabajadores de TI

La ingeniería social y el engaño siguen siendo los principales catalizadores de muchas de las intrusiones que se han atribuido a los actores amenazadores de la RPDC. Esto incluye el reciente compromiso de la cadena de suministro del enormemente popular paquete npm, Axios, así como campañas en curso como Contagious Interview y fraude a los trabajadores de TI.

Entrevista contagiosa es el apodo asignado a una amenaza de larga duración en la que el adversario se acerca a posibles objetivos y los engaña para que ejecuten código malicioso desde un repositorio falso como parte de una evaluación. Algunos de estos esfuerzos han utilizado proyectos Node.js armados alojados en GitHub para desplegar una puerta trasera de JavaScript llamada DEV#POPPER RAT y un ladrón de información conocido como OmniStealer.

Por otro lado, Fraude de trabajadores de TI de la RPDC se refiere a esfuerzos coordinados por agentes norcoreanos para Consiga puestos remotos independientes y de tiempo completo en empresas occidentales que utilizan identidades robadas, Personas generadas por IAy credenciales falsificadas. Una vez contratados, generan ingresos constantes y aprovechan el acceso para introducir malware y desviar información confidencial y de propiedad exclusiva. En algunos casos, los datos robados se utilizan para extorsionar a las empresas.

El programa patrocinado por el estado despliega miles de trabajadores técnicamente capacitados en países como China y Rusia, que se conectan a computadoras portátiles proporcionadas por la empresa alojadas en granjas de computadoras portátiles en los EE. UU. y otros lugares. El plan también se basa en una red de facilitadores para recibir computadoras portátiles de trabajo, administrar la nómina y manejar la logística. Estos facilitadores son contratados a través de empresas fantasma.

El proceso comienza con los reclutadores que identifican y seleccionan candidatos potenciales. Una vez aceptados, los trabajadores de TI ingresan a una fase de incorporación, donde los facilitadores asignan identidades y perfiles, y los guían a través de actualizaciones de currículum, preparación de entrevistas y solicitudes iniciales de empleo. Los actores de amenazas también trabajan con colaboradores para completar los requisitos de contratación para oportunidades de tiempo completo donde se aplican estrictas políticas de verificación de identidad.

Como señaló Chainalysis, las criptomonedas juega un papel central en canalizar la mayoría de los salarios generados por estos esquemas de trabajadores de TI de regreso a Corea del Norte mientras evaden las sanciones internacionales.

«El ciclo es constante e interminable. Los trabajadores de TI de Corea del Norte entienden que, tarde o temprano, renunciarán o serán despedidos de cualquier puesto determinado», dijeron Flare e IBM X-Force en un informe el mes pasado. «Como resultado, cambian continuamente entre trabajos, identidades y cuentas, sin permanecer nunca en un puesto ni utilizar una sola persona durante mucho tiempo».

Desde entonces, nuevas pruebas descubiertas por Flare han revelado los esfuerzos de la campaña para reclutar activamente a personas de Irán, Siria, Líbano y Arabia Saudita, y al menos dos iraníes recibieron cartas de oferta formales de empleadores estadounidenses. Ha habido más de 10 casos de ciudadanos iraníes que han sido reclutados por el régimen.

También se ha descubierto que los facilitadores utilizan LinkedIn para contratar a personas distintas de Irán, Irlanda e India, a quienes luego se les capacita para conseguir los puestos de trabajo. Estos individuos, llamados llamadores o entrevistadores, hablan por teléfono con gerentes de contratación estadounidenses, pasan entrevistas técnicas y se hacen pasar por personas occidentales reales o falsas seleccionadas por ellos. Cuando una persona que llama no pasa una entrevista, el facilitador revisa la grabación y proporciona comentarios.

«Los norcoreanos están apuntando deliberadamente a contratistas de defensa, intercambios de criptomonedas e instituciones financieras estadounidenses», Flare dicho. «Si bien las motivaciones principales parecen ser financieras, el ataque deliberado evidenciado en sus documentos indica que también puede haber otros objetivos en juego».

«La RPDC no está simplemente desplegando a sus propios ciudadanos bajo identidades falsas. Está construyendo un canal de reclutamiento multinacional, atrayendo a desarrolladores capacitados de Irán, Siria, Líbano y Arabia Saudita a una infraestructura diseñada para infiltrarse en contratistas de defensa, intercambios de criptomonedas, instituciones financieras y empresas de todos los tamaños de los EE. UU. Los reclutas son verdaderos ingenieros de software, pagados en criptomonedas, entrenados a través de entrevistas y ubicados en personajes occidentales fabricados».

Los actores de amenazas utilizan cada vez más cookies HTTP como canal de control para shells web basados ​​en PHP en servidores Linux y para lograr la ejecución remota de código, según los hallazgos del equipo de investigación de seguridad de Microsoft Defender.

«En lugar de exponer la ejecución de comandos a través de parámetros de URL o cuerpos de solicitud, estos shells web se basan en valores de cookies proporcionados por los actores de amenazas para controlar la ejecución, pasar instrucciones y activar funciones maliciosas», dijo el gigante tecnológico. dicho.

El enfoque ofrece mayor sigilo, ya que permite que el código malicioso permanezca inactivo durante la ejecución normal de la aplicación y active la lógica del shell web solo cuando están presentes valores de cookies específicos. Este comportamiento, señaló Microsoft, se extiende a solicitudes web, tareas programadas y trabajadores en segundo plano confiables.

La actividad maliciosa aprovecha el hecho de que los valores de las cookies están disponibles en tiempo de ejecución a través del $_COOKIE superglobal variable, lo que permite consumir las entradas proporcionadas por el atacante sin análisis adicional. Es más, es poco probable que la técnica genere señales de alerta, ya que las cookies se mezclan con el tráfico web normal y reducen la visibilidad.

El modelo de ejecución controlado por cookies viene en diferentes implementaciones:

• Un cargador PHP que utiliza múltiples capas de ofuscación y comprobaciones de tiempo de ejecución antes de analizar la entrada de cookies estructuradas para ejecutar una carga útil secundaria codificada.
• Un script PHP que segmenta datos de cookies estructurados para reconstruir componentes operativos, como funciones de manejo de archivos y decodificación, y escribe condicionalmente una carga útil secundaria en el disco y la ejecuta.
• Un script PHP que utiliza un único valor de cookie como marcador para desencadenar acciones controladas por el actor de amenazas, incluida la ejecución de la entrada proporcionada y la carga de archivos.

En al menos un caso, se ha descubierto que los actores de amenazas obtienen acceso inicial al entorno Linux alojado de una víctima a través de credenciales válidas o la explotación de una vulnerabilidad de seguridad conocida para configurar un trabajo cron que invoca una rutina de shell periódicamente para ejecutar un cargador PHP ofuscado.

Esta arquitectura de «autocuración» permite que la tarea programada recree repetidamente el cargador PHP incluso si se eliminó como parte de los esfuerzos de limpieza y remediación, creando así un canal de ejecución remota de código confiable y persistente. Una vez que se implementa el cargador PHP, permanece inactivo durante el tráfico normal y entra en acción al recibir solicitudes HTTP con valores de cookies específicos.

«Al trasladar el control de ejecución a las cookies, el shell web puede permanecer oculto en el tráfico normal, activándose sólo durante interacciones deliberadas», añadió Microsoft. «Al separar la persistencia a través de la recreación basada en cron del control de ejecución a través de la activación activada por cookies, el actor de amenazas redujo el ruido operativo y limitó los indicadores observables en los registros de aplicaciones de rutina».

Un aspecto común que une todas las implementaciones antes mencionadas es el uso de ofuscación para ocultar funciones sensibles y activación basada en cookies para iniciar la acción maliciosa, dejando al mismo tiempo una huella interactiva mínima.

Para contrarrestar la amenaza, Microsoft recomienda aplicar la autenticación multifactor para los paneles de control del alojamiento, el acceso SSH y las interfaces administrativas; monitoreo de actividad de inicio de sesión inusual; restringir la ejecución de intérpretes de shell; auditar trabajos cron y tareas programadas en servidores web; comprobar si se han creado archivos sospechosos en directorios web; y limitar las capacidades de shell de los paneles de control de hosting.

«El uso constante de cookies como mecanismo de control sugiere la reutilización de técnicas web establecidas», dijo Microsoft. «Al trasladar la lógica de control a las cookies, los actores de amenazas permiten un acceso persistente posterior al compromiso que puede evadir muchos controles tradicionales de inspección y registro».

«En lugar de depender de complejas cadenas de exploits, el actor de la amenaza aprovechó rutas de ejecución legítimas ya presentes en el entorno, incluidos los procesos del servidor web, los componentes del panel de control y la infraestructura cron, para preparar y preservar el código malicioso».