¡Hackers norcoreanos utilizan IA para engañar a RR.HH.! Ingenieros encubiertos se infiltran y roban 2.800 millones: toda la operación al descubierto

Investigadores de seguridad de BCA LTD, NorthScan y ANY.RUN desplegaron honeypots para atraer a la unidad Chollima del Lazarus Group, grabando en vídeo todo el proceso de acción de los hackers norcoreanos mediante un portátil de desarrollador camuflado. El vídeo muestra a los agentes norcoreanos utilizando herramientas de IA para generar respuestas perfectas en entrevistas, ocultar su ubicación y configurar Google Remote Desktop con un PIN fijo para asegurar el control a largo plazo, centrándose en construir una imagen de empleado ejemplar en lugar de atacar de inmediato.

2.800 millones de dólares en ciberdelitos: pilar de la economía norcoreana

Este incidente es solo una parte de un sistema industrial mucho mayor que ha convertido el fraude laboral en una de las principales fuentes de ingresos para el régimen sancionado. Un grupo multilateral de supervisión de sanciones estimó recientemente que organizaciones vinculadas a Pyongyang robaron alrededor de 2.830 millones de dólares en activos digitales entre 2024 y septiembre de 2025. Esta cifra representa aproximadamente un tercio de los ingresos en divisas de Corea del Norte, mostrando que el ciberrobo se ha convertido en una estrategia económica soberana.

Los 2.830 millones de dólares equivalen al PIB anual de muchos países pequeños. Estos fondos se utilizan para financiar el programa nuclear y de misiles balísticos norcoreano, convirtiendo la lucha contra los hackers norcoreanos no solo en un problema de ciberseguridad, sino en una cuestión de seguridad internacional. El Departamento del Tesoro de EE. UU., el FBI y agencias policiales de varios países han hecho del rastreo y la detención de los ciberdelitos norcoreanos una prioridad.

Tras las sanciones internacionales que cortaron las vías tradicionales de comercio de Corea del Norte, el ciberdelito se ha convertido en uno de los métodos más importantes para obtener divisas. A diferencia del contrabando de armas o el tráfico de drogas, el ciberdelito tiene bajo coste, riesgo relativamente pequeño y grandes beneficios. Un equipo de hackers norcoreanos bien entrenado solo necesita un ordenador y conexión a Internet para robar millones de dólares desde cualquier parte del mundo.

Esta operación industrial a nivel estatal muestra que Corea del Norte ya considera el ciberdelito un recurso estratégico. Lazarus Group y la unidad Chollima no son actores aislados, sino tropas regulares entrenadas por el Estado, con salario gubernamental y objetivos claramente definidos. Sus operaciones están cuidadosamente planificadas: desde la selección de objetivos, suplantación de identidad, técnicas avanzadas hasta el blanqueo de fondos, cada fase tiene una especialización profesional.

Cuatro características de la industrialización del ciberdelito norcoreano

Sistema de formación estatal: selección de talentos hackers desde secundaria, con formación técnica y lingüística profesional

Despliegue global descentralizado: hackers norcoreanos repartidos en China, Sudeste Asiático y Rusia para reducir el riesgo de rastreo

División organizacional: infiltración, ataque y blanqueo gestionados por distintos equipos para mayor eficiencia

Gestión orientada a objetivos: cada grupo tiene metas anuales claras de robo, con recompensas por logros

En febrero de 2025, un gran exchange CEX sufrió un ataque que demostró la eficacia de este enfoque basado en el “factor humano”. En ese incidente, hackers norcoreanos atribuidos a la organización TraderTraitor usaron credenciales internas robadas para disfrazar transferencias externas como movimientos de activos internos, logrando finalmente el control de los contratos inteligentes de carteras frías. El CEX perdió más de 1.400 millones de dólares, constituyendo uno de los mayores robos individuales en la historia de las criptomonedas.

Armas de IA: de la productividad a la capacidad de ataque

(Fuente: BCA LTD)

El uso de herramientas de productividad basadas en IA con fines maliciosos por parte de hackers norcoreanos ha sido el hallazgo más inquietante de esta operación honeypot. Utilizaron software legítimo de automatización de búsqueda de empleo, como Simplify Copilot y AiApply, para generar en masa respuestas perfectas a entrevistas y rellenar solicitudes. Estas herramientas, diseñadas para ayudar a los solicitantes a ser más eficientes, se han convertido ahora en armas para que agentes norcoreanos superen los filtros de recursos humanos.

Simplify Copilot puede generar automáticamente cartas de presentación y currículums personalizados según la oferta, mientras que AiApply simula respuestas humanas a preguntas técnicas en entrevistas. Los hackers norcoreanos combinan estas herramientas con identidades reales de ingenieros estadounidenses robadas, creando solicitudes de empleo prácticamente invulnerables. Los departamentos de RRHH ven currículums perfectos, entrevistas fluidas y antecedentes reales, sin motivos para sospechar.

Este uso de herramientas occidentales de productividad señala una tendencia inquietante: los actores estatales están utilizando tecnología de inteligencia artificial diseñada para simplificar la contratación empresarial para derrotarla. También revela la doble cara de la IA: las mismas herramientas que mejoran la productividad pueden convertirse en armas de ataque. Las empresas que adopten herramientas de IA para reclutamiento deben considerar el riesgo de un uso malicioso.

Las investigaciones muestran que los hackers norcoreanos canalizan el tráfico para ocultar su ubicación y usan servicios basados en navegador para gestionar códigos de autenticación de doble factor vinculados a identidades robadas. Esta combinación tecnológica demuestra un profundo conocimiento de las medidas de seguridad de las empresas occidentales. Eluden comprobaciones geográficas, gestionan 2FA por navegador y utilizan identidades robadas para aportar antecedentes legítimos, formando un sistema de camuflaje completo.

El objetivo final no es destruir el objetivo de inmediato, sino mantener el control a largo plazo. Los operativos configuran Google Remote Desktop mediante PowerShell con un PIN fijo, asegurando que puedan seguir controlando la máquina incluso si el host revoca permisos. Este mecanismo de puerta trasera demuestra la paciencia y planificación a largo plazo de los hackers norcoreanos, dispuestos a pasar meses ganándose la confianza para obtener el control total en el momento clave.

Registro honeypot revela la cadena completa de ataque y estrategias de defensa

(Fuente: NorthScan)

Los investigadores de seguridad engañaron a agentes norcoreanos para que accedieran a un “portátil de desarrollador” trampa, grabando sus movimientos con cámara. Los investigadores de BCA LTD, NorthScan y la plataforma de análisis de malware ANY.RUN capturaron en tiempo real la evolución del ciberdelito patrocinado por estados. Este honeypot ha ofrecido una perspectiva sin precedentes sobre la cadena de ataque completa de los hackers norcoreanos.

La operación comenzó con la creación de una identidad de desarrollador y la aceptación de una entrevista de un reclutador bajo el alias “Aaron”. Este reclutador no desplegó malware estándar, sino que dirigió al objetivo a aceptar un acuerdo de trabajo remoto común en Web3. Cuando los investigadores concedieron acceso al portátil, los agentes norcoreanos no explotaron vulnerabilidades de código, sino que se centraron en construir una imagen de empleado ejemplar.

El vídeo ofrece la visión más clara hasta la fecha de cómo las unidades norcoreanas, especialmente la famosa Chollima, logran superar los cortafuegos tradicionales al ser contratados directamente por departamentos de RRHH de los países objetivo. Chollima es la unidad de élite de la ciberguerra norcoreana, cuyo nombre proviene de un caballo mítico coreano que simboliza velocidad y eficiencia. Esta unidad está especializada en infiltraciones a instituciones financieras y empresas de criptomonedas.

En esencia, no buscan invadir carteras inmediatamente, sino convertirse en insiders fiables para obtener acceso a repositorios internos y paneles en la nube. Ejecutan diagnósticos de sistema para verificar hardware, realizan tareas de desarrollo normales, asisten a reuniones de equipo y actúan como empleados remotos diligentes. Esta paciencia y capacidad de camuflaje es lo más temible, ya que hace casi imposible que las empresas identifiquen la amenaza en etapas tempranas.

Seis etapas de la cadena de ataque de hackers norcoreanos

Preparación de identidad: robo o compra de documentos reales de ingenieros estadounidenses y cuentas de LinkedIn

Búsqueda de empleo asistida por IA: uso de Simplify Copilot y AiApply para solicitudes y respuestas a entrevistas perfectas

Superar la entrevista: demostrar habilidades técnicas reales y fluidez en inglés

Construcción de confianza: mostrar profesionalismo y completar tareas de desarrollo asignadas

Implantación de puerta trasera: establecer control persistente como Google Remote Desktop

Esperar el momento: permanecer oculto hasta obtener acceso a sistemas clave o carteras

Del KYC al KYE: un cambio fundamental en la defensa empresarial

El auge de la ingeniería social ha traído una grave crisis de responsabilidad al sector de los activos digitales. Este año, empresas de seguridad como Huntress y Silent Push documentaron varias redes de empresas tapadera, incluyendo BlockNovas y SoftGlide, con registros estadounidenses válidos y perfiles fiables de LinkedIn. Estas entidades, bajo la apariencia de evaluaciones técnicas, lograron que desarrolladores instalaran scripts maliciosos.

Para los responsables de cumplimiento y CISOs, el reto ha cambiado. Los protocolos tradicionales de “conoce a tu cliente” (KYC) se centran en los clientes, pero el modus operandi de Lazarus requiere estrictos estándares de “conoce a tu empleado” (KYE). Este cambio de paradigma exige repensar todo el proceso de selección y gestión de empleados.

El Departamento de Justicia ya ha empezado a actuar contra estas estafas IT, incautando 7,74 millones de dólares relacionados, pero la detección sigue muy rezagada. Los 7,74 millones son solo la punta del iceberg respecto a los 2.830 millones de dólares totales sustraídos, evidenciando la limitada eficacia policial. La red de hackers norcoreanos está distribuida en múltiples países y aprovecha el anonimato y la naturaleza transfronteriza de las criptomonedas, haciendo extremadamente difícil su rastreo y enjuiciamiento.

Como demuestra la operación encubierta de BCA LTD, la única manera de atrapar a estos criminales puede ser pasar de la defensa pasiva a la decepción activa, creando entornos controlados que obliguen a los actores de amenazas a exponer sus técnicas antes de obtener el control de los fondos. Esta estrategia de defensa activa representa un cambio importante en la mentalidad de ciberseguridad, pasando de la construcción de muros a la puesta de trampas.

Cinco medidas clave del proceso KYE para empresas cripto

Entrevistas por vídeo en varias rondas: exigir cámara encendida, observar microexpresiones y detalles del entorno

Verificación técnica en tiempo real: pruebas de programación en directo en vez de solo revisar portfolios

Investigación de antecedentes en profundidad: contactar con antiguos empleadores, verificar títulos, comprobar la autenticidad del historial en redes sociales

Asignación gradual de permisos: nuevos empleados acceden solo a sistemas no sensibles al principio, con incremento progresivo de permisos

Monitorización de comportamientos anómalos: detección de herramientas de ocultación de ubicación, horarios de trabajo inusuales e instalaciones sospechosas

El éxito de la estrategia honeypot demuestra que frente a amenazas cibernéticas de nivel estatal, la defensa pasiva tradicional ya no es suficiente. Las empresas deben tomar la iniciativa, desplegando sistemas señuelo para atraer e identificar amenazas potenciales. Cuando los hackers norcoreanos creen que han logrado infiltrarse, en realidad están exponiendo sus herramientas, técnicas y procesos (TTPs), proporcionando inteligencia valiosa a la comunidad de seguridad.

A un nivel más amplio, este caso pone de manifiesto los nuevos retos de seguridad en la era del trabajo remoto. Cuando los equipos están dispersos globalmente y nunca se han visto en persona, garantizar la autenticidad de cada miembro se convierte en un problema clave. El sector cripto, por el alto valor de sus activos y su cultura de trabajo remoto, es un objetivo principal para los hackers norcoreanos. Las empresas deben equilibrar la flexibilidad del trabajo remoto con la implantación de mecanismos más estrictos de verificación y monitorización de empleados.