Se estima que el actor de amenazas vinculado a Corea del Norte conocido como Sapphire Sleet ha robado más de 10 millones de dólares en criptomonedas como parte de campañas de ingeniería social orquestadas durante un período de seis meses.
Estos hallazgos provienen de Microsoft, que dijo que se han observado múltiples grupos de actividades de amenazas con vínculos con el país que crean perfiles falsos en LinkedIn, haciéndose pasar por reclutadores y solicitantes de empleo para generar ingresos ilícitos para la nación afectada por las sanciones.
Sapphire Sleet, que se sabe que está activo desde al menos 2020, se superpone con grupos de piratería identificados como APT38 y BlueNoroff. En noviembre de 2023, el gigante tecnológico reveló que el actor de amenazas había establecido una infraestructura que se hacía pasar por portales de evaluación de habilidades para llevar a cabo sus campañas de ingeniería social.
Uno de los principales métodos adoptados por el grupo durante más de un año es hacerse pasar por un inversor de riesgo y afirmar engañosamente que tiene intereses en la empresa de un usuario objetivo para organizar una reunión en línea.
A los usuarios que caen en la trampa e intentan conectarse a la reunión se les muestran mensajes de error que los instan a ponerse en contacto con el administrador de la sala o el equipo de soporte para obtener ayuda.
Si la víctima se comunica con el actor de la amenaza, se le envía un archivo AppleScript (.scpt) o un archivo Visual Basic Script (.vbs) según el sistema operativo utilizado para resolver el supuesto problema de conexión.
Bajo el capó, el script se utiliza para descargar malware en la máquina Mac o Windows comprometida, lo que en última instancia permite a los atacantes obtener credenciales y billeteras de criptomonedas para su posterior robo.
También se ha identificado a Sapphire Sleet haciéndose pasar por reclutadores de empresas financieras como Goldman Sachs en LinkedIn para contactar a posibles objetivos y pedirles que completen una evaluación de habilidades alojada en un sitio web bajo su control.
Redmond también ha caracterizado el envío de miles de trabajadores de TI al extranjero por parte de Corea del Norte como una triple amenaza que genera dinero para el régimen a través de trabajo “legítimo”, les permite abusar de su acceso para apoderarse de propiedad intelectual y facilita el robo de datos a cambio de un rescate.
Esto incluye la creación de perfiles y carteras falsos en plataformas de desarrolladores como GitHub y LinkedIn para comunicarse con reclutadores y postularse a empleos.
En algunos casos, también se ha descubierto que utilizan herramientas de inteligencia artificial (IA) como Faceswap para modificar fotos y documentos robados a las víctimas o mostrarlos en un entorno de aspecto profesional. Estas imágenes se utilizan luego en currículums o perfiles, a veces de varias personas, que se envían para solicitudes de empleo.
“Además de utilizar inteligencia artificial para ayudar a crear imágenes utilizadas en solicitudes de empleo, los trabajadores de TI de Corea del Norte están experimentando con otras tecnologías de inteligencia artificial, como software de cambio de voz”, dijo Microsoft.
“Los trabajadores de TI de Corea del Norte parecen estar muy organizados a la hora de rastrear los pagos recibidos. En total, este grupo de trabajadores de TI de Corea del Norte parece haber ganado al menos 370.000 dólares estadounidenses gracias a sus esfuerzos”.