Sapphire Sleet APT
El grupo de amenazas afiliado a Corea del Norte, identificado como Sapphire Sleet, habría obtenido más de 10 millones de dólares en criptomonedas mediante esquemas de ingeniería social realizados durante un período de seis meses. Los resultados de la investigación indican que varios grupos de amenazas conectados con Corea del Norte han estado creando perfiles fraudulentos en LinkedIn. Estos perfiles, diseñados para imitar tanto a reclutadores como a solicitantes de empleo, tienen como objetivo facilitar actividades ilícitas y generar apoyo financiero para el régimen fuertemente sancionado.
Activo desde al menos 2020, Sapphire Sleet comparte conexiones con otras entidades de piratería, como APT38 y BlueNoroff. En noviembre de 2023, los investigadores descubrieron que el grupo había creado una infraestructura que imitaba las plataformas de evaluación de habilidades y que aprovechaba estos sitios para ejecutar sus tácticas de ingeniería social.
Tabla de contenido
Tácticas engañosas empleadas por el Sapphire Sleet
Durante el último año, el grupo ha empleado principalmente una estrategia de hacerse pasar por capitalistas de riesgo, fingiendo interés en el negocio de un objetivo para organizar una reunión en línea. Cuando los objetivos intentan unirse a la reunión, se encuentran con mensajes de error que les indican que se pongan en contacto con el administrador de la reunión o el equipo de soporte para obtener ayuda.
Si la víctima cumple, los atacantes proporcionan un archivo AppleScript (.scpt) o un archivo Visual Basic Script (.vbs) adaptado al sistema operativo de la víctima con el pretexto de resolver el problema. Tras bambalinas, estos scripts están diseñados para implementar software malicioso en el dispositivo macOS o Windows de la víctima, lo que permite a los atacantes recopilar credenciales y acceder a billeteras de criptomonedas para su posterior robo.
Suplantar la identidad de una entidad legítima para engañar a las personas
Se ha observado que Sapphire Sleet se hace pasar por reclutadores de importantes instituciones financieras, como Goldman Sachs, en LinkedIn. Esta táctica consiste en ponerse en contacto con posibles objetivos e invitarlos a completar una evaluación de habilidades alojada en un sitio web controlado por los actores de la amenaza.
A las víctimas se les proporciona una cuenta de inicio de sesión y una contraseña para acceder al sitio fraudulento. Al iniciar sesión y descargar archivos relacionados con la supuesta evaluación, instalan sin darse cuenta malware en sus dispositivos, lo que les otorga a los atacantes acceso no autorizado a sus sistemas.
Además, los analistas de ciberseguridad han destacado el despliegue de miles de trabajadores de TI en el extranjero por parte de Corea del Norte como parte de una estrategia multifacética. Estos trabajadores generan ingresos para el régimen a través de empleos legítimos, explotan su acceso para robar propiedad intelectual y participan en el robo de datos a cambio de exigencias de rescate.
Debido a las restricciones que existen en Corea del Norte, como la imposibilidad de abrir cuentas bancarias u obtener números de teléfono, estos agentes de TI dependen de intermediarios para acceder a plataformas en las que pueden conseguir trabajos remotos. Estos facilitadores ayudan con tareas como crear cuentas en sitios de trabajo para autónomos y configurar perfiles y portafolios falsos en plataformas como GitHub y LinkedIn para interactuar con los reclutadores y postularse a oportunidades de empleo.
Los cibercriminales están adoptando tecnologías de inteligencia artificial en sus operaciones
En algunos casos, se ha descubierto que el grupo utiliza herramientas de inteligencia artificial (IA), como Faceswap, para alterar fotografías y documentos obtenidos de las víctimas. Estas imágenes modificadas, a menudo colocadas en entornos profesionales, se utilizan luego en currículums o perfiles (a veces bajo múltiples identidades) enviados para solicitudes de empleo.
Además de la manipulación de imágenes para solicitudes de empleo, los trabajadores de TI de Corea del Norte también están explorando otras tecnologías de inteligencia artificial, incluido el software de cambio de voz, para mejorar sus esfuerzos engañosos.
Los trabajadores de TI norcoreanos parecen mantener un sistema bien organizado para rastrear los pagos que reciben. Se estima que sus esfuerzos combinados han generado al menos 370.000 dólares en ingresos.
