Microsoft ha suspendido 3000 cuentas de Outlook y Hotmail vinculadas a un esquema norcoreano que involucra a nacionales de la DPRK que se hacen pasar por trabajadores remotos bajo identidades falsas.
Los funcionarios de EE. UU. han advertido durante mucho tiempo que Corea del Norte utiliza ganancias ilícitas de hackeos de criptomonedas, fraudes y operaciones de TI para eludir sanciones internacionales y mantener sus programas militares. Ahora, las autoridades están reprimiendo lo que llaman una operación criminal global que canaliza secretamente millones hacia el régimen autoritario de Kim Jong Un.
Microsoft cierra 3,000 cuentas de correo electrónico vinculadas a Corea del Norte
Microsoft ha suspendido más de 3,000 cuentas de correo electrónico en una operación contra el esquema internacional operado por trabajadores de TI norcoreanos que se hacen pasar por profesionales tecnológicos remotos.
Las acciones de Microsoft siguen una operación coordinada que involucra al Departamento de Justicia de EE. UU., al FBI y a otras agencias federales. Juntos, han comenzado a desmantelar una conspiración sofisticada con nombre en código “Jasper Sleet” por Microsoft Threat Intelligence. Es una operación que explota los mercados de trabajo freelance y las empresas tecnológicas en todo el mundo.
La operación no solo defrauda a los empleadores, sino que también se cree que financia directamente el programa de armas nucleares de Corea del Norte.
Según el equipo de Inteligencia de Amenazas de Microsoft, el esquema involucra a profesionales de TI capacitados de la República Popular Demócrata de Corea (DPRK) que asumen identidades falsas para asegurar empleo remoto con empresas extranjeras, especialmente en los Estados Unidos.
Muchos de estos trabajadores son altamente calificados, con algunos empleadores alabándolos sin saber como los mejores empleados.
“Estos no son hackers que están infiltrándose en sistemas”, dijo el Centro de Inteligencia de Amenazas de Microsoft (MSTIC). “Son desarrolladores calificados, ingenieros de aseguramiento de calidad y especialistas en soporte técnico que pasan entrevistas, completan trabajo real y se mezclan, excepto por un detalle crítico: están trabajando para la DPRK.”
En muchos casos, cómplices que a veces son ciudadanos estadounidenses facilitan el acceso alquilando sus identidades o operando lo que las autoridades describen como “granjas de laptops”.
Las granjas de laptops son lugares físicos donde se envían y mantienen laptops emitidas por empleadores desprevenidos. Al menos 29 de estos sitios han sido registrados por las fuerzas del orden, con laptops instaladas con software de acceso remoto o redirigidas físicamente a China o Rusia.
El Departamento de Justicia detalló recientemente el caso de un empleado de un salón de uñas en Maryland que será sentenciado en agosto. Se descubrió que el hombre había tenido 13 trabajos simultáneamente en nombre de trabajadores de TI norcoreanos, ganando casi 1 millón de dólares en pagos de salario remoto.
Según las estimaciones de las Naciones Unidas, el programa de trabajadores de TI norcoreanos genera hasta 600 millones de dólares anuales. Este ingreso a menudo termina apoyando operaciones de ciberdelito y las ambiciones nucleares del país.
Microsoft contraataca con herramientas de IA y detección
En una publicación de blog esta semana, Microsoft detalló la suspensión de 3,000 cuentas de correo electrónico de consumidores, principalmente de Outlook y Hotmail, que estaban siendo utilizadas por los operativos norcoreanos.
“Más allá de las 3,000 cuentas de correo electrónico de consumidores que fueron eliminadas recientemente, en nuestros esfuerzos por interrumpir la actividad del actor y proteger a nuestros clientes de esta amenaza, Microsoft ha continuado eliminando cuentas de persona a medida que son identificadas y rastreando el uso de IA por parte del actor”, dijo Jeremy Dallman, el director senior del Centro de Inteligencia de Amenazas de Microsoft.
Microsoft ha observado que los trabajadores norcoreanos se están volviendo cada vez más sofisticados. Ahora aprovechan herramientas de IA para corregir errores gramaticales en currículos y cartas de presentación, mejorar sus fotos para parecer más profesionales o occidentalizados y usar tecnología FaceSwap para imponer sus imágenes en documentos de identidad robados.
Algunos incluso están experimentando con software de cambio de voz para ayudar a los facilitadores a pasar entrevistas de trabajo en su nombre. Aunque Microsoft no ha observado el uso de combinaciones de IA impulsadas por voz y videos falsos en tiempo real en entrevistas, la compañía advirtió que podría ser solo cuestión de tiempo.
“Si tiene éxito, esta táctica podría permitir a los trabajadores de TI norcoreanos realizar entrevistas directamente y ya no depender de facilitadores que los representen”, dijo Microsoft.
Estas tácticas mejoradas de IA permiten a los operativos enmascarar mejor su origen, lo que dificulta que los empleadores identifiquen señales de alerta. Los métodos comunes incluyen reciclar nombres, direcciones de correo electrónico y plantillas de perfil en varias plataformas de empleo como LinkedIn, GitHub y mercados de trabajo freelance.
Para detectar y defenderse contra estas tácticas, Microsoft ha desplegado una solución personalizada de aprendizaje automático que señala actividad sospechosa utilizando lo que llama un análisis de “viaje en el tiempo imposible”, que incluye monitorear inicios de sesión en ubicaciones geográficamente implausibles dentro de marcos de tiempo estrechos, como acceso desde EE. UU. seguido de cerca por China o Rusia.
Microsoft también está reforzando sus herramientas de protección de identidad y instando a las empresas a adoptar protocolos de autenticación fuertes y sistemas de detección de riesgos en tiempo real. La empresa tecnológica ha colaborado con agencias gubernamentales de EE. UU. para compartir inteligencia y construir soluciones técnicas que puedan aplicarse en toda la industria de ciberseguridad.
La compañía se ha comprometido a mantener la presión sobre la amenaza en evolución. “Jasper Sleet está cambiando y evolucionando constantemente sus perfiles”, dijo Dallman. “Estamos observando cómo se adaptan, especialmente con IA, y trabajando para mantener un paso adelante.”
Academia Cryptopolitan: Próximamente - Una nueva forma de ganar ingresos pasivos con DeFi en 2025. Aprende más