La deriva tiene reveló que el ataque del 1 de abril de 2026 que condujo al robo de 285 millones de dólares fue la culminación de una operación de ingeniería social selectiva y meticulosamente planificada de meses de duración emprendida por la República Popular Democrática de Corea (RPDC) que comenzó en el otoño de 2025.

El intercambio descentralizado con sede en Solana lo describió como «un ataque que lleva seis meses en desarrollo», y lo atribuyó con confianza media a un grupo de piratería patrocinado por el estado de Corea del Norte llamado UNC4736que también se rastrea bajo los ciptónimos AppleJeus, Citrine Sleet, Golden Chollima y Gleaming Pisces.

El actor de amenazas tiene un historial de atacar el sector de las criptomonedas por robo financiero desde al menos 2018. Es más conocido por la violación de la cadena de suministro de X_TRADER/3CX en 2023 y el hackeo de 53 millones de dólares de la plataforma de finanzas descentralizadas (DeFi). Capital Radiante en octubre de 2024.

«La base de esta conexión es tanto en cadena (los flujos de fondos utilizados para organizar y probar esta operación se remontan a los atacantes de Radiant) como operativa (las personas desplegadas en esta campaña tienen superposiciones identificables con actividades conocidas vinculadas a la RPDC)», dijo Drift en un análisis del domingo.

En una evaluación publicada a finales de enero de 2026, la empresa de ciberseguridad CrowdStrike describió a Golden Chollima como una rama de Labyrinth Chollima que está orientada principalmente al robo de criptomonedas y apunta a pequeñas empresas de tecnología financiera en EE. UU., Canadá, Corea del Sur, India y Europa occidental.

«El adversario normalmente lleva a cabo robos de menor valor a un ritmo operativo más consistente, lo que sugiere la responsabilidad de garantizar la generación de ingresos básicos para el régimen de la RPDC», dijo CrowdStrike. «A pesar de mejorar las relaciones comerciales con Rusia, la RPDC necesita ingresos adicionales para financiar ambiciosos planes militares que incluyen la construcción de nuevos destructores, la construcción de submarinos de propulsión nuclear y el lanzamiento de satélites de reconocimiento adicionales».

En al menos un incidente observado a finales de 2024, UNC4736 entregó paquetes Python maliciosos mediante un plan de contratación fraudulento a una empresa europea de tecnología financiera. Al obtener acceso, el actor de amenazas se movió lateralmente al entorno de nube de la víctima para acceder a las configuraciones de IAM y los recursos de nube asociados y, en última instancia, desvió los activos de criptomonedas a billeteras controladas por el adversario.

Cómo probablemente se desarrolló el ataque a la deriva

Drift, que está trabajando con las fuerzas del orden y socios forenses para reconstruir la secuencia de eventos que llevaron al ataque, dijo que era el objetivo de una «operación de inteligencia estructurada» que requirió meses de planificación.

A partir del otoño de 2025 o alrededor de esa fecha, personas que se hacían pasar por una empresa comercial cuantitativa se acercaron a los contribuyentes de Drift en una importante conferencia sobre criptomonedas y conferencias internacionales sobre criptomonedas con el pretexto de integrar el protocolo. Desde entonces, se supo que se trataba de un enfoque deliberado, en el que los miembros de este grupo comercial se acercaron y establecieron una buena relación con contribuyentes específicos de Drift en varias conferencias importantes de la industria que tuvieron lugar en varios países durante un período de seis meses.

«Los individuos que aparecieron en persona no eran ciudadanos norcoreanos», explicó Drift. «Se sabe que los actores de amenazas de la RPDC que operan a este nivel utilizan intermediarios externos para construir relaciones cara a cara».

«Eran técnicamente fluidos, tenían antecedentes profesionales verificables y estaban familiarizados con cómo operaba Drift. Se estableció un grupo de Telegram en la primera reunión, y lo que siguió fueron meses de conversaciones sustanciales sobre estrategias comerciales y posibles integraciones de bóvedas. Estas interacciones son típicas de cómo las empresas comerciales interactúan y se incorporan a Drift».

Luego, en algún momento entre diciembre de 2025 y enero de 2026, el grupo incorporó un Ecosystem Vault en Drift, un paso que requirió completar un formulario con detalles de la estrategia. Como parte de este proceso, se dice que las personas se comunicaron con múltiples contribuyentes, les hicieron «preguntas detalladas e informadas sobre el producto», mientras depositaban más de $ 1 millón de sus propios fondos.

Esto, dijo Drift, fue un movimiento calculado diseñado para construir una presencia operativa funcional dentro del ecosistema Drift, con conversaciones de integración que continuaron con los contribuyentes hasta febrero y marzo de 2026. Esto incluyó compartir enlaces para proyectos, herramientas y aplicaciones que la compañía afirmó estar desarrollando.

La posibilidad de que estas interacciones con el grupo comercial hayan actuado como la vía de infección inicial adquirió importancia tras el ataque del 1 de abril. Pero como reveló Drift, sus chats de Telegram y el software malicioso se eliminaron justo en el momento en que ocurrió el ataque.

Se sospecha que puede haber dos vectores de ataque principales:

• Es posible que un colaborador se haya visto comprometido después de clonar un repositorio de código compartido por el grupo como parte de los esfuerzos para implementar una interfaz para su bóveda.
• Se convenció a un segundo colaborador para que descargara un producto de billetera a través de TestFlight de Apple para realizar una prueba beta de la aplicación.

Se considera que el vector de intrusión basado en repositorio involucró un proyecto malicioso de Microsoft Visual Studio Code (VS Code) que utiliza el archivo «tasks.json» como arma para desencadenar automáticamente la ejecución de código malicioso en el proyecto en el IDE mediante el uso de la opción «runOn:folderOpen».

Vale la pena señalar que esta técnica ha sido adoptado por los actores de amenazas norcoreanos asociados con la campaña Contagious Interview desde diciembre de 2025, lo que llevó a Microsoft a introducir nuevos controles de seguridad en las versiones 1.109 y 1.110 de VS Code para evitar la ejecución involuntaria de tareas al abrir un espacio de trabajo.

«La investigación ha demostrado hasta ahora que los perfiles utilizados en esta operación dirigida por terceros tenían identidades completamente construidas, incluidos historiales laborales, credenciales públicas y redes profesionales», dijo Drift. «Las personas que los colaboradores de Drift conocieron en persona parecían haber pasado meses creando perfiles, tanto personales como profesionales, que pudieran resistir el escrutinio durante una relación comercial o de contraparte».

El ecosistema de malware fragmentado de Corea del Norte

La divulgación se produce cuando DomainTools Investigations (DTI) reveló que el aparato cibernético de la RPDC ha evolucionado hasta convertirse en un ecosistema de malware «deliberadamente fragmentado» que está impulsado por una misión, operativamente resiliente y resistente a los esfuerzos de atribución. Se cree que este cambio es una respuesta a las acciones policiales y a las revelaciones de inteligencia sobre las campañas de piratería informática de Corea del Norte.

«El desarrollo y las operaciones de malware están cada vez más compartimentados, tanto técnica como organizativamente, lo que garantiza que la exposición en un área de la misión no se extienda a todo el programa», dijo DTI. dicho. «Lo más importante es que este modelo también maximiza la ambigüedad. Al separar las herramientas, la infraestructura y los patrones operativos según las líneas de la misión, la RPDC complica la atribución y ralentiza la toma de decisiones de los defensores».

Con ese fin, DomainTools señaló que el malware orientado al espionaje de la RPDC está asociado principalmente con Kimsuky, mientras que Lazarus Group encabeza los esfuerzos para generar ingresos ilícitos para el régimen, transformándose en un «pilar central» para la evasión de sanciones. La tercera vía gira en torno a la implementación de ransomware y malware de limpieza con fines de señalización estratégica y llamar la atención sobre sus capacidades. Esta rama disruptiva está asociada a Andariel.

La ingeniería social detrás de las entrevistas contagiosas y el fraude de los trabajadores de TI

La ingeniería social y el engaño siguen siendo los principales catalizadores de muchas de las intrusiones que se han atribuido a los actores amenazadores de la RPDC. Esto incluye el reciente compromiso de la cadena de suministro del enormemente popular paquete npm, Axios, así como campañas en curso como Contagious Interview y fraude a los trabajadores de TI.

Entrevista contagiosa es el apodo asignado a una amenaza de larga duración en la que el adversario se acerca a posibles objetivos y los engaña para que ejecuten código malicioso desde un repositorio falso como parte de una evaluación. Algunos de estos esfuerzos han utilizado proyectos Node.js armados alojados en GitHub para desplegar una puerta trasera de JavaScript llamada DEV#POPPER RAT y un ladrón de información conocido como OmniStealer.

Por otro lado, Fraude de trabajadores de TI de la RPDC se refiere a esfuerzos coordinados por agentes norcoreanos para Consiga puestos remotos independientes y de tiempo completo en empresas occidentales que utilizan identidades robadas, Personas generadas por IAy credenciales falsificadas. Una vez contratados, generan ingresos constantes y aprovechan el acceso para introducir malware y desviar información confidencial y de propiedad exclusiva. En algunos casos, los datos robados se utilizan para extorsionar a las empresas.

El programa patrocinado por el estado despliega miles de trabajadores técnicamente capacitados en países como China y Rusia, que se conectan a computadoras portátiles proporcionadas por la empresa alojadas en granjas de computadoras portátiles en los EE. UU. y otros lugares. El plan también se basa en una red de facilitadores para recibir computadoras portátiles de trabajo, administrar la nómina y manejar la logística. Estos facilitadores son contratados a través de empresas fantasma.

El proceso comienza con los reclutadores que identifican y seleccionan candidatos potenciales. Una vez aceptados, los trabajadores de TI ingresan a una fase de incorporación, donde los facilitadores asignan identidades y perfiles, y los guían a través de actualizaciones de currículum, preparación de entrevistas y solicitudes iniciales de empleo. Los actores de amenazas también trabajan con colaboradores para completar los requisitos de contratación para oportunidades de tiempo completo donde se aplican estrictas políticas de verificación de identidad.

Como señaló Chainalysis, las criptomonedas juega un papel central en canalizar la mayoría de los salarios generados por estos esquemas de trabajadores de TI de regreso a Corea del Norte mientras evaden las sanciones internacionales.

«El ciclo es constante e interminable. Los trabajadores de TI de Corea del Norte entienden que, tarde o temprano, renunciarán o serán despedidos de cualquier puesto determinado», dijeron Flare e IBM X-Force en un informe el mes pasado. «Como resultado, cambian continuamente entre trabajos, identidades y cuentas, sin permanecer nunca en un puesto ni utilizar una sola persona durante mucho tiempo».

Desde entonces, nuevas pruebas descubiertas por Flare han revelado los esfuerzos de la campaña para reclutar activamente a personas de Irán, Siria, Líbano y Arabia Saudita, y al menos dos iraníes recibieron cartas de oferta formales de empleadores estadounidenses. Ha habido más de 10 casos de ciudadanos iraníes que han sido reclutados por el régimen.

También se ha descubierto que los facilitadores utilizan LinkedIn para contratar a personas distintas de Irán, Irlanda e India, a quienes luego se les capacita para conseguir los puestos de trabajo. Estos individuos, llamados llamadores o entrevistadores, hablan por teléfono con gerentes de contratación estadounidenses, pasan entrevistas técnicas y se hacen pasar por personas occidentales reales o falsas seleccionadas por ellos. Cuando una persona que llama no pasa una entrevista, el facilitador revisa la grabación y proporciona comentarios.

«Los norcoreanos están apuntando deliberadamente a contratistas de defensa, intercambios de criptomonedas e instituciones financieras estadounidenses», Flare dicho. «Si bien las motivaciones principales parecen ser financieras, el ataque deliberado evidenciado en sus documentos indica que también puede haber otros objetivos en juego».

«La RPDC no está simplemente desplegando a sus propios ciudadanos bajo identidades falsas. Está construyendo un canal de reclutamiento multinacional, atrayendo a desarrolladores capacitados de Irán, Siria, Líbano y Arabia Saudita a una infraestructura diseñada para infiltrarse en contratistas de defensa, intercambios de criptomonedas, instituciones financieras y empresas de todos los tamaños de los EE. UU. Los reclutas son verdaderos ingenieros de software, pagados en criptomonedas, entrenados a través de entrevistas y ubicados en personajes occidentales fabricados».

Intercambio descentralizado basado en Solana Deriva ha confirmado que los atacantes drenaron alrededor de 285 millones de dólares de la plataforma durante un incidente de seguridad que tuvo lugar el 1 de abril de 2026.

«Hoy, un actor malicioso obtuvo acceso no autorizado al Protocolo Drift a través de un nuevo ataque que involucra nonces duraderos, lo que resultó en una rápida toma de control de los poderes administrativos del Consejo de Seguridad de Drift», dijo la compañía. dicho en una serie de publicaciones sobre X.

«Esta fue una operación altamente sofisticada que parece haber implicado una preparación de varias semanas y una ejecución por etapas, incluido el uso de cuentas nonce duraderas para prefirmar transacciones que retrasaron la ejecución».

Drift señaló que el ataque no aprovechó una vulnerabilidad en sus programas o contratos inteligentes, y que no hay evidencia de frases iniciales comprometidas. Más bien, se dice que la violación «involucró aprobaciones de transacciones no autorizadas o tergiversadas obtenidas antes de la ejecución, probablemente facilitadas a través de mecanismos nonce duraderos e ingeniería social sofisticada», explicó.

Para ello, los actores de amenazas obtuvieron suficientes aprobaciones de firmas múltiples (multifirma) y ejecutó una transferencia de administrador maliciosa en cuestión de minutos para obtener el control de los permisos a nivel de protocolo y, en última instancia, aprovecharlos para «introducir un activo malicioso y eliminar todos los límites de retiro preestablecidos, atacando los fondos existentes».

Según una cronología de eventos compartida por Drift, los preparativos para el ataque estaban en marcha ya el 23 de marzo de 2026. La compañía dijo que está coordinando con múltiples firmas de seguridad para determinar la causa del incidente, agregando que está trabajando con puentes, intercambios y fuerzas del orden para rastrear y congelar los activos robados.

En informes separados publicados el jueves, tanto Elliptic como TRM Labs dijeron que hay indicios en la cadena de que los ladrones de criptomonedas de Corea del Norte pueden estar detrás del atraco de criptomonedas.

Esto incluía el uso de Tornado Cash para la puesta en escena inicial, así como los patrones de conexión entre cadenas y la velocidad y escala del lavado posterior al hackeo que son consistentes con hackeos previamente atribuidos a actores de amenazas norcoreanos, incluido el exploit masivo de Bybit de 2025.

«La vulnerabilidad crítica no fue un error de contrato inteligente, sino una combinación de firmantes multifirma de ingeniería social para firmar previamente autorizaciones ocultas y una migración del Consejo de Seguridad con bloqueo de tiempo cero que eliminó la última línea de defensa del protocolo», TRM Labs dicho.

«El atacante fabricó un activo completamente ficticio, CarbonVote Token, con unos pocos miles de dólares en liquidez inicial y operaciones de lavado, y los oráculos de Drift lo trataron como una garantía legítima por valor de cientos de millones de dólares».

La firma de inteligencia blockchain también señaló que el token CarbonVote se implementó a las 09:30 hora de Pyongyang.

Elliptic, en su propio análisis del incidente de seguridad, dijo que el comportamiento en cadena, las metodologías de lavado y los indicadores a nivel de red se alinean con el arte conocido asociado con actores de amenazas de la República Popular Democrática de Corea (RPDC).

La compañía también señaló que, si se confirma, este incidente «representaría el decimoctavo acto de la RPDC» que ha seguido desde principios de año, con más de 300 millones de dólares robados hasta la fecha.

«Es una continuación de la campaña sostenida de la RPDC de robo de criptoactivos a gran escala, que el gobierno de Estados Unidos ha vinculado con la financiación de sus programas de armas», Elliptic dicho. «Se cree que los actores vinculados a la RPDC han robado más de 6.500 millones de dólares en criptoactivos en los últimos años».

Se estima que la operación de robo de criptoactivos de Corea del Norte generó un récord de 2 mil millones de dólares en 2025, de los cuales aproximadamente 1,46 mil millones de dólares se originaron en el hackeo de Bybit en febrero de 2025.

La principal vía de acceso inicial a través de la cual se ejecutan estos ataques sigue siendo la ingeniería social, aprovechando personas y señuelos persuasivos para apuntar a los sectores de criptomonedas y Web3 a través de campañas rastreadas como DangerousPassword (también conocido como CageyChameleon, CryptoMimic y CryptoCore) y Contagious Interview. A finales de febrero de 2026, las ganancias combinadas de las campañas gemelas totalizan 37,5 millones de dólares este año.

«La operación de robo de criptoactivos de la RPDC no es una serie de incidentes aislados. Es una campaña sostenida y bien dotada de recursos que está creciendo en escala y sofisticación», Elliptic dicho.

«La evolución de las técnicas de ingeniería social de la RPDC, combinada con la creciente disponibilidad de IA para refinar y perfeccionar estos métodos, significa que la amenaza se extiende mucho más allá de los intercambios. Los desarrolladores individuales, los contribuyentes de proyectos y cualquier persona con acceso a la infraestructura de criptoactivos son un objetivo potencial».

El desarrollo coincide con el compromiso de la cadena de suministro del popular paquete Axios npm, que múltiples proveedores de seguridad, incluidos Google, Microsoft, CrowdStrike y Sophos, han atribuido a un grupo de piratería norcoreano llamado UNC1069, que se superpone con BlueNoroff, CryptoCore, Nickel Gladstone, Sapphire Sleet y Stardust Chollima.

«Este grupo patrocinado por el Estado se centra en generar ingresos para el régimen norcoreano», Sophos dicho. «Los artefactos incluyen metadatos forenses idénticos y patrones de comando y control (C2), así como conexiones con malware utilizado exclusivamente por Nickel Gladstone. Según estos artefactos, es muy probable que Nickel Gladstone sea responsable de los ataques de Axios».

La Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de Estados Unidos ha sancionado a seis personas y dos entidades por su participación en el plan de trabajadores de tecnología de la información (TI) de la República Popular Democrática de Corea (RPDC) con el objetivo de defraudar a empresas estadounidenses y generar ingresos ilícitos para que el régimen financie sus programas de armas de destrucción masiva (ADM).

«El régimen de Corea del Norte ataca a las empresas estadounidenses a través de esquemas engañosos llevados a cabo por sus operadores de TI en el extranjero, que utilizan datos confidenciales como armas y extorsionan a las empresas mediante pagos sustanciales». dicho El secretario del Tesoro, Scott Bessent.

El plan fraudulento, también llamado Coral Sleet/Jasper Sleet, PurpleDelta y Wagemole, se basa en documentación falsa, identidades robadas y personas inventadas para ayudar a los trabajadores de TI a ocultar sus verdaderos orígenes y conseguir empleos en empresas legítimas en los EE. UU. y otros lugares. Luego, una parte desproporcionada de los salarios se canaliza de regreso a Corea del Norte para facilitar los programas de misiles de la nación, en violación de las sanciones internacionales.

En algunos casos, estos esfuerzos se complementan con la implementación de malware para robar información privada y confidencial, así como con esfuerzos de extorsión exigiendo rescates a cambio de no filtrar públicamente los datos robados.

Las personas y entidades objeto de la última ronda de sanciones de la OFAC se enumeran a continuación:

• Empresa de desarrollo tecnológico Amnokganguna empresa de TI que gestiona delegaciones de trabajadores de TI en el extranjero y lleva a cabo otras actividades de adquisiciones ilícitas para obtener y vender tecnología militar y comercial a través de sus redes en el extranjero.
• Nguyen Quang Vietdirector ejecutivo de una empresa vietnamita Quangvietdnbg International Services Company Limited que facilita los servicios de conversión de moneda para los norcoreanos. Se estima que la compañía convirtió alrededor de 2,5 millones de dólares en criptomonedas entre mediados de 2023 y mediados de 2025.
• Phi Khanhun asociado de Kim Se Un, que fue sancionado por Estados Unidos en julio de 2025. Se alega que Do actuó como representante de Kim y permitió que Kim usara su identidad para abrir cuentas bancarias y lavar ganancias de trabajadores de TI.
• Hoang Van Nguyenquien también ayuda a Kim a abrir cuentas bancarias y permite transacciones de criptomonedas para Kim.
• Yun Song Gukun ciudadano norcoreano que dirigió un grupo de trabajadores de TI que realizaban trabajos de TI independientes desde Boten, Laos, desde al menos 2023. Yun ha coordinado varias docenas de transacciones financieras por un valor de más de 70.000 dólares con Hoang Minh Quang relacionados con servicios de TI, y ha trabajado con York Luis Celestino Herrera desarrollar contratos freelance de servicios TI.

El desarrollo se produce cuando LevelBlue destacó el uso de Astrill VPN por parte del plan de trabajadores de TI para realizar sus operaciones mientras se encuentran en países como China, debido a la capacidad del servicio para evitar el Gran Cortafuegos de China. La idea es canalizar el tráfico a través de los nodos de salida de Estados Unidos, permitiéndoles efectivamente hacerse pasar por empleados domésticos legítimos.

«Estos actores de amenazas comúnmente operan desde China en lugar de Corea del Norte por dos razones: una infraestructura de Internet más confiable y la capacidad de aprovechar los servicios VPN para ocultar su verdadero origen geográfico», dijo el investigador de seguridad Tue Luu. dicho. «Los subgrupos del Grupo Lazarus, incluido Contagious Interview, dependen de esta capacidad para acceder a Internet global sin restricciones, gestionar la infraestructura de comando y control y enmascarar su verdadera ubicación».

La empresa de ciberseguridad también dijo que detectó un intento fallido por parte de Corea del Norte de infiltrarse en una organización respondiendo a un anuncio de búsqueda de ayuda. El trabajador de TI, que fue contratado el 15 de agosto de 2025 como empleado remoto para trabajar con datos de Salesforce, fue despedido 10 días después después de mostrar indicadores que mostraban inicios de sesión consistentes desde China.

Un aspecto notable del oficio de Jasper Sleet es el uso de inteligencia artificial para permitir la fabricación de identidades, la ingeniería social y la persistencia operativa a largo plazo a bajo costo, lo que subraya cómo los servicios impulsados ​​por IA pueden reducir las barreras técnicas y aumentar las capacidades de los actores de amenazas.

«Jasper Sleet aprovecha la IA durante todo el ciclo de vida del ataque para ser contratado, permanecer contratado y hacer mal uso del acceso a escala», Microsoft dicho. «Los actores de amenazas están utilizando la IA para acortar el proceso de reconocimiento que informa el desarrollo de personas digitales convincentes adaptadas a roles y mercados laborales específicos».

Otro componente crucial implica el uso de una aplicación de inteligencia artificial llamada Faceswap para insertar los rostros de los trabajadores de TI de Corea del Norte en documentos de identidad robados y generar fotografías pulidas para los currículums. Al hacerlo, estos esfuerzos no solo apuntan a mejorar la precisión de sus campañas, sino también aumentar la credibilidad mediante la elaboración de identidades digitales convincentes.

Además, se considera que la amenaza de los trabajadores de TI remotos ha aprovechado herramientas de IA agente para crear sitios web corporativos falsos y para generar, refinar y reimplementar rápidamente componentes de malware, en algunos casos mediante el jailbreak de modelos de lenguajes grandes (LLM).

«Los actores de amenazas, como los trabajadores remotos de TI de Corea del Norte, dependen de un acceso confiable a largo plazo», dijo Microsoft. «Debido a este hecho, los defensores deberían tratar el empleo fraudulento y el uso indebido del acceso como un escenario de riesgo interno, centrándose en detectar el uso indebido de credenciales legítimas, patrones de acceso anormales y una actividad baja y lenta sostenida».

En un informe detallado publicado por Flare e IBM X-Force que examina las tácticas y técnicas empleadas por los trabajadores de TI, salió a la luz que los actores de amenazas utilizan hojas de tiempo para rastrear las solicitudes de empleo y el progreso del trabajo, IP Messenger (también conocido como IPMsg) para la comunicación interna descentralizada y Google Translate para traducir descripciones de puestos, elaborar aplicaciones e incluso interpretar respuestas de herramientas como ChatGPT.

El esquema de trabajadores de TI se construye sobre una estructura operativa de varios niveles que involucra reclutadores, facilitadores, trabajadores de TI y colaboradores, cada uno de los cuales desempeña un papel distinto:

• Reclutadores, que son responsables de seleccionar a los posibles trabajadores de TI y grabar las sesiones de entrevistas iniciales para enviarlas a los facilitadores.
• Facilitadores y trabajadores de TI, que tienen la tarea de crear personalidades, obtener empleo independiente o de tiempo completo e incorporar nuevas contrataciones.
• Colaboradores, que son reclutados para donar su identidad personal y/o información para ayudar a los trabajadores de TI a completar el proceso de contratación y recibir computadoras portátiles proporcionadas por la empresa.

«Con la ayuda de colaboradores occidentales reclutados, principalmente de LinkedIn y GitHub, que, voluntaria o involuntariamente, proporcionan sus identidades para su uso en el esquema de fraude de los trabajadores de TI, NKITW puede penetrar de manera más profunda y confiable en una organización, durante un período de tiempo más largo», afirman las empresas. dicho en un informe compartido con The Hacker News.

«Las operaciones de los trabajadores de TI de Corea del Norte están generalizadas y profundamente integradas dentro del partido-estado de la RPDC. Es un componente integral de la maquinaria de generación de ingresos y evasión de sanciones de la RPDC».