Tres hombres americanos fueron sentenciado el viernes por crímenes que cometieron en cumplimiento del vasto plan de Corea del Norte para contratar agentes en empresas estadounidenses, dijo el Departamento de Justicia.

El trío (Audricus Phagnasay, de 25 años, Jason Salazar, de 30 y Alexander Paul Travis, de 35) se declaró culpable en noviembre de conspiración para cometer fraude electrónico al proporcionar identidades estadounidenses a trabajadores remotos de TI de Corea del Norte.

Alojaron en sus hogares computadoras portátiles proporcionadas por empresas estadounidenses e instalaron software de acceso remoto para que pareciera que los agentes norcoreanos estaban trabajando en el país. El grupo también ayudó a trabajadores remotos de TI a pasar la investigación de antecedentes de los empleadores y, en el caso de Travis y Salazar, realizó pruebas de drogas en nombre de los norcoreanos, dijeron los fiscales.

Travis, un miembro en servicio activo del ejército estadounidense en ese momento, recibió alrededor de 51.000 dólares del plan. Fue sentenciado a un año de prisión y se le ordenó perder alrededor de 193.000 dólares.

Phagnasay y Salazar se embolsaron cada uno unos 3.500 y 4.500 dólares, respectivamente, y ambos fueron sentenciados a tres años de libertad condicional y una multa de 2.000 dólares. Un tribunal federal ordenó a Salazar perder unos 410.000 dólares y ordenó a Phagnasay perder casi 682.000 dólares.

«Estos hombres prácticamente dieron las llaves del reino en línea a probables trabajadores norcoreanos de tecnología en el extranjero que buscaban recaudar ingresos ilícitos para el gobierno de Corea del Norte, todo a cambio de lo que les parecía dinero fácil», dijo en un comunicado Margaret Heap, fiscal estadounidense para el Distrito Sur de Georgia.

«Estos esquemas presentan un desafío importante para nuestra seguridad nacional y aplaudimos a nuestros socios de investigación que trabajan para asegurar nuestras fronteras digitales», agregó Heap.

El trío facilitó alrededor de 1,28 millones de dólares en salarios de las empresas estadounidenses víctimas desde septiembre de 2019 hasta noviembre de 2022. Sin embargo, los recortes financieros por su asistencia fueron relativamente bajos.

Las contramedidas de los funcionarios a estos esquemas, que en última instancia blanquean dinero mal habido para el gobierno de Corea del Norte, implican atacar a facilitadores con sede en Estados Unidos que proporcionan identidades falsificadas o robadas y granjas de computadoras portátiles para agentes norcoreanos, y la incautación de criptomonedas vinculadas al robo.

Los avances en materia de aplicación de la ley en ambos frentes se están acumulando, pero los investigadores advierten que la operación de Corea del Norte es de escala masiva y evoluciona constantemente.

Microsoft Threat Intelligence advirtió a principios de este mes que los grupos de amenazas norcoreanos están utilizando herramientas de inteligencia artificial para acelerar y expandir el esquema del país, automatizando y mejorando los esfuerzos a lo largo del ciclo de vida del ataque.

La Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de Estados Unidos ha sancionado a seis personas y dos entidades por su participación en el plan de trabajadores de tecnología de la información (TI) de la República Popular Democrática de Corea (RPDC) con el objetivo de defraudar a empresas estadounidenses y generar ingresos ilícitos para que el régimen financie sus programas de armas de destrucción masiva (ADM).

«El régimen de Corea del Norte ataca a las empresas estadounidenses a través de esquemas engañosos llevados a cabo por sus operadores de TI en el extranjero, que utilizan datos confidenciales como armas y extorsionan a las empresas mediante pagos sustanciales». dicho El secretario del Tesoro, Scott Bessent.

El plan fraudulento, también llamado Coral Sleet/Jasper Sleet, PurpleDelta y Wagemole, se basa en documentación falsa, identidades robadas y personas inventadas para ayudar a los trabajadores de TI a ocultar sus verdaderos orígenes y conseguir empleos en empresas legítimas en los EE. UU. y otros lugares. Luego, una parte desproporcionada de los salarios se canaliza de regreso a Corea del Norte para facilitar los programas de misiles de la nación, en violación de las sanciones internacionales.

En algunos casos, estos esfuerzos se complementan con la implementación de malware para robar información privada y confidencial, así como con esfuerzos de extorsión exigiendo rescates a cambio de no filtrar públicamente los datos robados.

Las personas y entidades objeto de la última ronda de sanciones de la OFAC se enumeran a continuación:

• Empresa de desarrollo tecnológico Amnokganguna empresa de TI que gestiona delegaciones de trabajadores de TI en el extranjero y lleva a cabo otras actividades de adquisiciones ilícitas para obtener y vender tecnología militar y comercial a través de sus redes en el extranjero.
• Nguyen Quang Vietdirector ejecutivo de una empresa vietnamita Quangvietdnbg International Services Company Limited que facilita los servicios de conversión de moneda para los norcoreanos. Se estima que la compañía convirtió alrededor de 2,5 millones de dólares en criptomonedas entre mediados de 2023 y mediados de 2025.
• Phi Khanhun asociado de Kim Se Un, que fue sancionado por Estados Unidos en julio de 2025. Se alega que Do actuó como representante de Kim y permitió que Kim usara su identidad para abrir cuentas bancarias y lavar ganancias de trabajadores de TI.
• Hoang Van Nguyenquien también ayuda a Kim a abrir cuentas bancarias y permite transacciones de criptomonedas para Kim.
• Yun Song Gukun ciudadano norcoreano que dirigió un grupo de trabajadores de TI que realizaban trabajos de TI independientes desde Boten, Laos, desde al menos 2023. Yun ha coordinado varias docenas de transacciones financieras por un valor de más de 70.000 dólares con Hoang Minh Quang relacionados con servicios de TI, y ha trabajado con York Luis Celestino Herrera desarrollar contratos freelance de servicios TI.

El desarrollo se produce cuando LevelBlue destacó el uso de Astrill VPN por parte del plan de trabajadores de TI para realizar sus operaciones mientras se encuentran en países como China, debido a la capacidad del servicio para evitar el Gran Cortafuegos de China. La idea es canalizar el tráfico a través de los nodos de salida de Estados Unidos, permitiéndoles efectivamente hacerse pasar por empleados domésticos legítimos.

«Estos actores de amenazas comúnmente operan desde China en lugar de Corea del Norte por dos razones: una infraestructura de Internet más confiable y la capacidad de aprovechar los servicios VPN para ocultar su verdadero origen geográfico», dijo el investigador de seguridad Tue Luu. dicho. «Los subgrupos del Grupo Lazarus, incluido Contagious Interview, dependen de esta capacidad para acceder a Internet global sin restricciones, gestionar la infraestructura de comando y control y enmascarar su verdadera ubicación».

La empresa de ciberseguridad también dijo que detectó un intento fallido por parte de Corea del Norte de infiltrarse en una organización respondiendo a un anuncio de búsqueda de ayuda. El trabajador de TI, que fue contratado el 15 de agosto de 2025 como empleado remoto para trabajar con datos de Salesforce, fue despedido 10 días después después de mostrar indicadores que mostraban inicios de sesión consistentes desde China.

Un aspecto notable del oficio de Jasper Sleet es el uso de inteligencia artificial para permitir la fabricación de identidades, la ingeniería social y la persistencia operativa a largo plazo a bajo costo, lo que subraya cómo los servicios impulsados ​​por IA pueden reducir las barreras técnicas y aumentar las capacidades de los actores de amenazas.

«Jasper Sleet aprovecha la IA durante todo el ciclo de vida del ataque para ser contratado, permanecer contratado y hacer mal uso del acceso a escala», Microsoft dicho. «Los actores de amenazas están utilizando la IA para acortar el proceso de reconocimiento que informa el desarrollo de personas digitales convincentes adaptadas a roles y mercados laborales específicos».

Otro componente crucial implica el uso de una aplicación de inteligencia artificial llamada Faceswap para insertar los rostros de los trabajadores de TI de Corea del Norte en documentos de identidad robados y generar fotografías pulidas para los currículums. Al hacerlo, estos esfuerzos no solo apuntan a mejorar la precisión de sus campañas, sino también aumentar la credibilidad mediante la elaboración de identidades digitales convincentes.

Además, se considera que la amenaza de los trabajadores de TI remotos ha aprovechado herramientas de IA agente para crear sitios web corporativos falsos y para generar, refinar y reimplementar rápidamente componentes de malware, en algunos casos mediante el jailbreak de modelos de lenguajes grandes (LLM).

«Los actores de amenazas, como los trabajadores remotos de TI de Corea del Norte, dependen de un acceso confiable a largo plazo», dijo Microsoft. «Debido a este hecho, los defensores deberían tratar el empleo fraudulento y el uso indebido del acceso como un escenario de riesgo interno, centrándose en detectar el uso indebido de credenciales legítimas, patrones de acceso anormales y una actividad baja y lenta sostenida».

En un informe detallado publicado por Flare e IBM X-Force que examina las tácticas y técnicas empleadas por los trabajadores de TI, salió a la luz que los actores de amenazas utilizan hojas de tiempo para rastrear las solicitudes de empleo y el progreso del trabajo, IP Messenger (también conocido como IPMsg) para la comunicación interna descentralizada y Google Translate para traducir descripciones de puestos, elaborar aplicaciones e incluso interpretar respuestas de herramientas como ChatGPT.

El esquema de trabajadores de TI se construye sobre una estructura operativa de varios niveles que involucra reclutadores, facilitadores, trabajadores de TI y colaboradores, cada uno de los cuales desempeña un papel distinto:

• Reclutadores, que son responsables de seleccionar a los posibles trabajadores de TI y grabar las sesiones de entrevistas iniciales para enviarlas a los facilitadores.
• Facilitadores y trabajadores de TI, que tienen la tarea de crear personalidades, obtener empleo independiente o de tiempo completo e incorporar nuevas contrataciones.
• Colaboradores, que son reclutados para donar su identidad personal y/o información para ayudar a los trabajadores de TI a completar el proceso de contratación y recibir computadoras portátiles proporcionadas por la empresa.

«Con la ayuda de colaboradores occidentales reclutados, principalmente de LinkedIn y GitHub, que, voluntaria o involuntariamente, proporcionan sus identidades para su uso en el esquema de fraude de los trabajadores de TI, NKITW puede penetrar de manera más profunda y confiable en una organización, durante un período de tiempo más largo», afirman las empresas. dicho en un informe compartido con The Hacker News.

«Las operaciones de los trabajadores de TI de Corea del Norte están generalizadas y profundamente integradas dentro del partido-estado de la RPDC. Es un componente integral de la maquinaria de generación de ingresos y evasión de sanciones de la RPDC».

Los grupos de amenazas norcoreanos están utilizando herramientas de inteligencia artificial para acelerar y expandir el plan de larga duración del país para contratar trabajadores técnicos remotos en empresas globales por períodos más prolongados, dijo Microsoft Threat Intelligence en un informe Viernes.

Los servicios de inteligencia artificial están empoderando a los agentes norcoreanos durante todo el ciclo de vida del ataque. Los atacantes han convertido la IA en un “multiplicador de fuerza” que refuerza y ​​automatiza sus esfuerzos para realizar investigaciones sobre objetivos, desarrollar recursos maliciosos, lograr y mantener el acceso, evadir la detección y utilizar herramientas como armas para ataques y actividades posteriores al compromiso, dijeron los investigadores.

Microsoft dijo que un trío de grupos a los que rastrea, como Coral Sleet, Sapphire Sleet y Jasper Sleet, están utilizando IA para acortar el tiempo que lleva crear personajes digitales para roles y mercados laborales específicos. Estos grupos frecuentemente aprovechan oportunidades financieras o señuelos con temas de entrevistas para obtener acceso inicial.

Jasper Sleet está utilizando herramientas de inteligencia artificial generativa para investigar ofertas de trabajo en plataformas como Upwork e identificar habilidades en demanda o requisitos de experiencia para alinear personas falsas con roles específicos, dijo Microsoft en el informe.

Los investigadores advirtieron que los grupos de amenazas también están «mejorando significativamente la escala y la sofisticación de su ingeniería social y sus operaciones de acceso inicial» con la creación de medios impulsada por IA para suplantaciones y modulación de voz en tiempo real.

Los grupos de amenazas norcoreanos han utilizado servicios de inteligencia artificial para generar señuelos que imitan las comunicaciones internas en varios idiomas con fluidez nativa.

«Estas tecnologías permiten a los actores de amenazas crear señuelos y personajes altamente personalizados y convincentes a una velocidad y un volumen sin precedentes, lo que reduce la barrera para que se produzcan ataques complejos y aumenta la probabilidad de un compromiso exitoso», escribieron los investigadores en el informe.

Microsoft ha observado a Jasper Sleet utilizando la aplicación de inteligencia artificial Faceswap para insertar rostros de trabajadores de TI de Corea del Norte en documentos de identidad robados, en algunos casos reutilizando la misma foto generada por inteligencia artificial en varias personas.

Jasper Sleet también se apoya en las comunicaciones habilitadas por IA después de que una organización de víctimas contrató con éxito a un agente para evadir la detección y mantener un empleo a largo plazo. Microsoft ha observado a los trabajadores de TI remotos de Corea del Norte utilizar herramientas de inteligencia artificial para elaborar respuestas profesionales, responder preguntas técnicas o generar fragmentos de código para cumplir con las expectativas de rendimiento en entornos desconocidos.

Los grupos de amenazas norcoreanos están utilizando la IA para perfeccionar las actividades posteriores al compromiso observadas previamente, reduciendo el tiempo y la experiencia necesarios para la toma de decisiones, dijo Microsoft. Estas tareas impulsadas por IA aceleran el análisis de entornos comprometidos desconocidos, identifican rutas viables para el movimiento lateral y permiten a los agentes mezclarse con la actividad legítima.

Los grupos de amenazas norcoreanos también están utilizando IA para escalar privilegios, localizar y robar registros o credenciales confidenciales y minimizar el riesgo de detección mediante el análisis de controles de seguridad.

La IA generativa constituye la mayor parte de las actividades de amenazas relacionadas con la IA, pero Microsoft dijo que está en marcha una transición a la IA agente.

«Para los actores de amenazas, este cambio podría representar un cambio significativo en el oficio al permitir flujos de trabajo semiautónomos que refinen continuamente las campañas de phishing, prueben y adapten la infraestructura, mantengan la persistencia o monitoreen la inteligencia de código abierto en busca de nuevas oportunidades», escribieron los investigadores en el informe.

«Microsoft aún no ha observado el uso a gran escala de IA agente por parte de actores de amenazas, en gran parte debido a la confiabilidad continua y las limitaciones operativas», agregaron los investigadores. Sin embargo, advirtió Microsoft, los experimentos ilustran el potencial que los sistemas de IA agentes representan para actividades más avanzadas y dañinas.