Operativos norcoreanos intensifican su esquema de infiltración en empresas mediante suplantación en LinkedIn
En los últimos meses ha salido a la luz una táctica cada vez más sofisticada que mezcla fraude laboral, espionaje y criptomonedas. Investigaciones recientes revelan que trabajadores de TI vinculados a Corea del Norte están utilizando cuentas reales de LinkedIn pertenecientes a terceros para postularse a empleos remotos en empresas occidentales.
No se trata de perfiles falsos improvisados. Son cuentas legítimas, con correos verificados, historial laboral y apariencia totalmente creíble. El objetivo es simple: pasar los filtros de contratación sin levantar sospechas.
Una operación con dos objetivos claros
Este esquema lleva años activo y ha sido rastreado bajo distintos nombres como Jasper Sleet, PurpleDelta y Wagemole. Detrás hay dos metas principales:
Generar ingresos constantes para financiar programas armamentísticos norcoreanos.
Realizar espionaje cibernético robando información sensible de las empresas infiltradas.
En algunos casos, el ataque va más allá: tras obtener acceso, los operadores han exigido rescates para evitar la filtración de datos corporativos.
El riesgo para las empresas es enorme. Una vez contratados, estos “empleados” pueden obtener acceso administrativo a infraestructuras críticas, incluyendo repositorios de código. Los salarios recibidos se convierten rápidamente en criptomonedas y se lavan mediante técnicas como chain-hopping y token swapping, dificultando enormemente su rastreo.
Las autoridades noruegas ya confirmaron múltiples incidentes de este tipo. Varias empresas del país contrataron sin saberlo a estos trabajadores falsos, cuya remuneración probablemente terminó financiando el programa nuclear del régimen norcoreano.
La trampa de las entrevistas falsas
En paralelo, los investigadores identificaron otra campaña conocida como “Contagious Interview”. La idea es tan simple como peligrosa: crear procesos de selección ficticios para convencer a desarrolladores de ejecutar pruebas técnicas que en realidad instalan malware.
Algunas variantes aprovechan repositorios de código legítimos y técnicas avanzadas como EtherHiding, que utiliza contratos inteligentes en blockchain para alojar infraestructura de comando y control. Esto les da una resiliencia sorprendente frente a intentos de bloqueo o mitigación.
También se han detectado ataques que utilizan archivos de tareas de Microsoft VS Code para desplegar herramientas como BeaverTail e InvisibleFerret, diseñadas para el robo persistente de credenciales y criptomonedas.
Malware que llega desde npm
La cadena de ataque no termina ahí. Investigadores descubrieron el uso de un troyano modular de acceso remoto llamado Koalemos, distribuido a través de paquetes maliciosos en npm.
Este malware permite:
Vigilancia del sistema
Transferencia de archivos
Control remoto cifrado
Todo operando silenciosamente dentro del equipo comprometido.
Un ecosistema criminal organizado
Firmas de seguridad también han documentado la fragmentación del conocido grupo norcoreano Labyrinth Chollima en tres unidades operativas con misiones distintas: desde robo sistemático de criptomonedas hasta campañas de ciberespionaje de alto nivel.
Aunque parecen operar de forma independiente, comparten herramientas, infraestructura y técnicas, lo que apunta a una coordinación centralizada.
Qué puedes hacer para protegerte
Ante este panorama, la verificación de identidad profesional se vuelve crítica. Algunas recomendaciones básicas:
Verificar siempre la titularidad real de cuentas profesionales en redes sociales.
Priorizar autenticación mediante correos corporativos.
Alertar públicamente si detectas uso indebido de tu identidad profesional.
En un mundo donde el trabajo remoto es la norma, la frontera entre reclutamiento legítimo y operación de espionaje se está volviendo cada vez más difusa. Y eso convierte al proceso de contratación en una nueva superficie de ataque.