Ciberdelincuentes norcoreanos emplean IA para robar más de 10 millones de dólares en criptomonedas, mediante estafas en Linkedin

En un reciente informe, Microsoft ha revelado que el grupo de ciberamenazas vinculado a Corea del Norte, conocido como Sapphire Sleet, ha logrado sustraer más de 10 millones de dólares en criptomonedas mediante sofisticadas campañas de ingeniería social en LinkedIn. Estas operaciones, llevadas a cabo durante un período de seis meses, han involucrado la creación de perfiles falsos que se hacen pasar por reclutadores y solicitantes de empleo, con el objetivo de generar ingresos ilícitos para el régimen sancionado.

Sapphire Sleet, activo desde al menos 2020 y también identificado como APT38 y BlueNoroff, ha desarrollado infraestructuras que imitan portales de evaluación de habilidades para ejecutar sus campañas de engaño. Una de las tácticas principales consiste en hacerse pasar por capitalistas de riesgo interesados en empresas objetivo, estableciendo reuniones en línea fraudulentas. Cuando las víctimas intentan unirse a estas reuniones, se les presentan mensajes de error que las instan a contactar al administrador de la sala o al equipo de soporte.

Al comunicarse con los supuestos administradores, las víctimas reciben archivos maliciosos en formato AppleScript (.scpt) o Visual Basic Script (.vbs), según el sistema operativo que utilicen. Estos scripts descargan malware en los dispositivos comprometidos, permitiendo a los atacantes obtener credenciales y acceder a monederos de criptomonedas para su posterior robo.

Además, Sapphire Sleet ha sido detectado haciéndose pasar por reclutadores de firmas financieras como Goldman Sachs en LinkedIn, contactando a posibles víctimas y solicitándoles completar evaluaciones de habilidades alojadas en sitios web controlados por los atacantes. Al iniciar sesión y descargar el código asociado con la evaluación, las víctimas instalan inadvertidamente malware en sus dispositivos, otorgando a los atacantes acceso al sistema.

Microsoft también ha destacado que Corea del Norte ha desplegado miles de trabajadores de TI en el extranjero, representando una triple amenaza: generan ingresos para el régimen a través de trabajos «legítimos», abusan de su acceso para obtener propiedad intelectual y facilitan el robo de datos a cambio de un rescate. Estos trabajadores crean perfiles y portafolios falsos en plataformas como GitHub y LinkedIn para comunicarse con reclutadores y postularse a empleos. En algunos casos, utilizan herramientas de inteligencia artificial, como Faceswap, para modificar fotos y documentos robados, presentándolos en entornos profesionales. Estas imágenes se emplean en currículums o perfiles, a veces para múltiples identidades, que se envían en aplicaciones de empleo.

La sofisticación de estas tácticas destaca la importancia de que empresas e individuos refuercen sus medidas de seguridad para evitar ser víctimas de estos ataques:

1. Verificar la autenticidad de contactos en plataformas profesionales, antes de interactuar con un supuesto reclutador o solicitante de empleo, asegúrate de validar la legitimidad del perfil. Comprueba las conexiones, antecedentes y detalles del perfil en LinkedIn u otras plataformas.
2. Evitar descargar archivos de fuentes desconocidas, no descargues archivos, programas o aplicaciones enviados por contactos desconocidos, incluso si parecen legítimos. Es preferible utilizar servicios de análisis de archivos antes de abrirlos.
3. Fortalecer la seguridad de cuentas críticas, implementa autenticación multifactor (MFA) en todas las cuentas importantes, especialmente en aquellas relacionadas con criptomonedas o finanzas.
4. Educar a los empleados y usuarios, las organizaciones deben ofrecer capacitación constante a sus empleados sobre cómo detectar intentos de phishing y otras tácticas de ingeniería social.
5. Monitorizar accesos y transacciones, realiza auditorías frecuentes de las actividades en tus cuentas y dispositivos para identificar comportamientos inusuales. En el caso de criptomonedas, utiliza carteras frías (offline) para almacenar fondos a largo plazo.
6. Usar soluciones avanzadas de ciberseguridad, implementa herramientas como antivirus, cortafuegos y software de detección de amenazas basados en inteligencia artificial para proteger tus sistemas y redes.
7. Ser cauteloso con solicitudes de información personal, nunca compartas datos sensibles, como credenciales o claves privadas, con nadie a través de plataformas en línea.

Tomar estas precauciones puede reducir significativamente los riesgos de ser víctima de este tipo de ataques, garantizando mayor seguridad en el entorno digital.

Más información:

• North Korean Hackers Steal $10M with AI-Driven Scams and Malware on LinkedIn: https://thehackernews.com/2024/11/north-korean-hackers-steal-10m-with-ai.html
• Microsoft shares latest intelligence on North Korean and Chinese threat actors at CYBERWARCON: https://www.microsoft.com/en-us/security/blog/2024/11/22/microsoft-shares-latest-intelligence-on-north-korean-and-chinese-threat-actors-at-cyberwarcon/
• MS «北, 신종 사기로 암호화폐 1천만 달러치 벌어»: https://zdnet.co.kr/view/?no=20241124092642

La entrada Ciberdelincuentes norcoreanos emplean IA para robar más de 10 millones de dólares en criptomonedas, mediante estafas en Linkedin se publicó primero en Una Al Día.