Investigadores capturan en vivo una operación de Lazarus: así funciona el esquema de “trabajadores remotos” que infiltra empresas occidentales

Investigadores de BCA LTD, NorthScan y ANY.RUN lograron documentar en tiempo real una operación activa de Famous Chollima, una de las unidades del grupo norcoreano Lazarus APT, conocida por sus campañas de infiltración corporativa.
La investigación reveló cómo la organización utiliza ofertas falsas de empleo remoto para insertar operadores norcoreanos en empresas de sectores críticos como finanzas, criptomonedas, salud e ingeniería. Por primera vez, los analistas observaron a los operadores trabajar dentro de entornos sandbox que simulaban laptops reales de desarrolladores, solicitando acceso total a identidades corporativas y dispositivos.

Cómo opera el esquema de reclutamiento e infiltración

El proceso inicia con un supuesto reclutador —que alterna alias como “Aaron” o “Blaze”— contactando a candidatos vía LinkedIn.
El objetivo: obtener credenciales completas del candidato, incluyendo SSN, identificación oficial, acceso a LinkedIn y Gmail, además de control 24/7 sobre la laptop corporativa.

Para superar entrevistas técnicas, los operadores emplean herramientas de IA como Simplify Copilot y AiApply, y para evadir controles de autenticación utilizan generadores de OTP basados en navegador, lo que dificulta la detección de intentos no autorizados.
En vez de instalar malware, configuran Google Remote Desktop mediante PowerShell, junto con Astrill VPN para persistencia y movimiento lateral encubierto.

Tácticas y herramientas observadas en la sesión en vivo

Los investigadores documentaron un kit de intrusión liviano, centrado casi exclusivamente en la toma de identidad digital y el control remoto del endpoint:

• Sincronización del perfil de Chrome para obtener historial, sesiones y accesos guardados.

• Ejecución de comandos de reconocimiento como dxdiag, whoami y consultas del entorno para validar si la máquina era legítima.

• Solicitud explícita de documentos financieros y bancarios.

• Acceso silencioso a dashboards internos, sistemas corporativos y datos sensibles, sin generar alertas típicas asociadas a malware.

Esta metodología evita las rutas tradicionales de detección basadas en firmas o comportamiento sospechoso, permitiendo un impacto profundo con un solo operador infiltrado.

Riesgos para empresas y recomendaciones técnicas

El esquema aprovecha la contratación remota como vector de compromiso inicial, creando puertas traseras humanas con privilegios reales.
Para mitigar estos riesgos, los equipos de TI y seguridad deben:

• Verificar identidades de candidatos y agencias reclutadoras.

• Monitorear accesos remotos inusuales, especialmente configuraciones de RDP, Google Remote Desktop y VPNs no autorizadas.

• Implementar controles de onboarding más estrictos, con revisiones de dispositivos y validación de geolocalización.

• Capacitar al personal de RR. HH. e IT para detectar ofertas laborales fraudulentas y perfiles sospechosos.

• Adoptar sandboxes interactivos y análisis en vivo para estudiar técnicas avanzadas de APTs.

La investigación confirma que Lazarus continúa evolucionando hacia operaciones sin malware, centradas en identidad, acceso remoto y abuso de confianza —un escenario crítico para cualquier empresa con modelos de trabajo híbrido o remoto.