Un grupo de ‘hackers’ norcoreanos se infiltra en un centenar de tecnológicas para financiar a Kim Jong-un

Corea del Norte está sacando provecho de una de las grandes tendencias de los últimos años en el entorno laboral: la implantación del teletrabajo. El régimen de Kim Jong-un ha colocado a miles de compatriotas como trabajadores en empresas de todo el mundo, según advierte el Departamento de Justicia de EE UU. Se trata además de empleados cualificados, sobre todo desarrolladores de software. ¿Cómo logran ser contratados en empresas norteamericanas sin que salten las alarmas? “Los norcoreanos usan identidades robadas o prestadas de ciudadanos estadounidenses para hacerse pasar por trabajadores nacionales, infiltrarse en los sistemas de empresas estadounidenses y recaudar ingresos para Corea del Norte”, señala el organismo.

Una investigación que presenta esta semana la empresa de ciberseguridad CrowdStrike, mundialmente famosa por haber propiciado hace un mes y medio una caída global de los sistemas de aquellos de sus clientes que también usaban Windows, ha revelado que un solo grupo de hackers norcoreanos consiguió entrar en más de un centenar de empresas estadounidenses, la mayoría del sector tecnológico o de las fintech y muchas de ellas incluidas en el ranking Fortune 500. Tras ser contratados como desarrolladores remotos, los hackers instalaban software malicioso en los sistemas de la compañía, ya fuera para hacerse con información sensible o para sacar rédito económico.

Irónicamente, fue el antivirus Falcon, cuya actualización chocó a mediados de julio con Windows y provocó el fundido a azul de millones de pantallas, el que detectó la intrusión. “Todo comenzó en abril de este año, cuando un cliente contactó a CrowdStrike tras ser alertado por las autoridades sobre una infiltración malicioso. Nuestro equipo de investigación de amenazas no solo determinó quién era el responsable, sino que también descubrió docenas de otras organizaciones afectadas”, explica a EL PAÍS Adam Meyers, responsable de inteligencia y operaciones contra ciberdelincuentes en CrowdStrike y experto en las llamadas APT (amenazas persistentes avanzadas, por sus siglas inglesas), término con el que se conoce a los grupos organizados de ciberdelincuentes mejor preparados. “Esta campaña, dirigida principalmente al sector tecnológico, pero también al aeroespacial y al de defensa, es un claro recordatorio de la creciente amenaza que representan los infiltrados”.

El equipo de Meyers ha identificado al grupo o APT que consiguió ejecutar esa infiltración: se llama Famous Chollima y es una pata de Lazarus, la palabra clave con la que se conoce a los hackers que operan desde Corea del Norte. Cuentan con recursos, con una estructura jerarquizada y están muy organizados, lo que les permite elaborar ataques complejos, coordinados y veloces. Sus profesionales están divididos en departamentos y desempeñan roles especializados. Están patrocinados por el Gobierno del país asiático, aunque las autoridades niegan oficialmente cualquier vinculación con ellos, igual que hacen EE UU, Rusia, China o Israel con las APT a las que se les asocia.

“Famous Chollima explotó los procesos de contratación e incorporación de personal para obtener acceso físico a través de sistemas en remoto, que se encontraban en ubicaciones intermediarias. Los infiltrados accedieron remotamente a estos sistemas para iniciar sesión en las VPN corporativas, haciéndose pasar por desarrolladores”, lee el informe de CrowdStrike. “Este disfraz permitió a Famous Chollima obtener un acceso profundo y duradero a docenas de organizaciones, lo que durante mucho tiempo resultó casi imposible de detectar”.

Por motivos de confidencialidad, CrowdStrike no puede aportar más datos acerca de las empresas infiltradas ni sobre las pérdidas en que pueden haber incurrido por culpa de esta intrusión. “El Departamento de Justicia estima que estas acciones le habrán reportado a los atacantes unos 6,8 millones de dólares en dos años, pero creo que apenas estamos arañando la superficie de lo amplia que fue esta campaña”, señala Meyers.

¿Qué tipo de información buscaban exactamente los cibercriminales norcoreanos? “Datos que pudieran aportar valor a la República Popular Democrática de Corea, como inteligencia comercial sensible e información patentada de numerosas empresas tecnológicas”, añade el tejano. El laboratorio de Meyes cree que Famous Chollima presta apoyo al Departamento de la Industria de Municiones de Corea del Norte, que financia y supervisa los programas de misiles y armas norcoreanos. Probablemente, los robos de información estarán relacionados con ello.

El Departamento de Justicia tiene constancia de al menos 300 compañías, entre las que se cuentan el centenar de tecnológicas detectadas por CrowdStrike, afectadas en los últimos meses por este tipo de infiltraciones. El FBI publicó en mayo un anuncio en el que alerta a las empresas públicas y privadas de esta tendencia, ofrece consejos para proteger los negocios de estas intrusiones y hace un llamamiento a que se comuniquen los casos conocidos.

Robar para mayor gloria del régimen

La dificultad para rastrear la autoría de los ciberataques, que se pueden encubrir recurriendo a cadenas de servidores de otros países, lo convierten en un terreno especialmente abonado a las operaciones de inteligencia. Los países lo saben y, aunque ninguno lo reconoce, se sospecha que, quienes pueden hacerlo, financian y dan medios a grupos de hackers de élite, las APT, para que lleven a cabo acciones que no puedan ser atribuibles a Gobierno alguno, evitando así incidentes diplomáticos.

El tipo de misiones encomendadas a estos grupos, a los que se les presupone una capacidad solo superada por los servicios secretos de las grandes potencias, suelen estar relacionados con la obtención de información confidencial: espionaje industrial, sabotaje de planes de enriquecimiento de uranio, obtención de documentos militares, etc.

La aproximación de Corea del Norte es distinta. Sus equipos de hackers están principalmente enfocados a obtener fondos para un régimen que está estrangulado por las sanciones internacionales. Uno de sus manás en los últimos años están siendo las criptomonedas. Microsoft alertó el viernes de que Citrine Sleet, un grupo de hackers norcoreano, había explotado una vulnerabilidad de día cero (un fallo en algún programa desconocido por los propios desarrolladores) de Chromium, el navegador de código abierto de Google, para entrar en varias organizaciones y robar criptomonedas, si bien se desconoce todavía la cantidad sustraída. El mayor robo digital del que se tiene constancia fue obra de un grupo amparado en el paraguas de Lazarus: se hicieron con unos 600 millones de euros en criptomonedas en 2022, a los que algunos especialistas le suman otros 400 sustraídos el año anterior. Un informe del Consejo de Seguridad de Naciones Unidas calcula que los norcoreanos han robado unos 3.000 millones de dólares en criptomonedas desde 2017. Ese mismo panel estima que los fondos aportados por los grupos de hackers suponen la mitad de las divisas que llegan a Corea del Norte.

Según cuenta la periodista Anna Fifield en su libro El gran sucesor (Capitán Swing, 2021), fue Kim Jong-un, nieto del fundador de la dinastía de dictadores, quien decidió en 2009, cuando heredó las riendas del país, que el régimen le podía sacar mucho partido al ciberespacio. Dentro del país, el acceso a internet es testimonial; de fronteras afuera, sin embargo, la arena digital se interpreta como un potente instrumento para espiar, sabotear y robar sin apenas consecuencias. “Los estudiantes que muestran posibles aptitudes [para la informática], algunos de tan solo 11 años, son enviados a escuelas especiales y luego a la Universidad de Automatización de Pyongyang”, donde “a lo largo de cinco años se les enseña a hackear sistemas y a crear virus informáticos”, escribe Fifield.

La estrategia ha dado resultado. EE UU y Reino Unido, así como Microsoft, le atribuyen esta organización el lanzamiento en 2017 de WannaCry 2.0, el mayor ransomware de la historia: este virus informático secuestró unos 300.000 ordenadores de 150 países, incluyendo los del sistema de salud de Reino Unido, y pidió un rescate a cambio de su liberación.

Dentro de Lazarus, las distintas divisiones persiguen objetivos diferentes. El equipo de Meyers distingue cinco facciones diferenciadas dentro de ese paraguas, que comparten hasta un repositorio de código al que recurren para preparar sus ataques. Dos de ellas, Stardust Chollima y Labyrinth Chollima, están exclusivamente dedicadas a la monetización. “Creemos que Stardust Cholima pertenece a la Oficina 121, uno de los departamentos de la Oficina General de Reconocimiento”, nombre con el que se conoce a una de las agencias de espionaje norcoreanas. “Están muy enfocados en sistemas financieros, criptomonedas y nuevas tecnologías”. Famous Chollima, la responsable de la filtración de trabajadores, trabaja para el sistema armamentístico norcoreano.

Otra práctica frecuente entre los hackers norcoreanos es tratar de meterse en el ordenador de sus colegas extranjeros para conocer lo último en ciberseguridad. Aunque eso, al menos una vez, les salió caro. En 2022, un año después de tratar de infectar el equipo de Alejandro Cáceres, más conocido por sus alias hacker P4x o _hyp3ri0n, este estadounidense tumbó como represalia internet durante una semana en todo el país asiático. “Sé que lo que hice es ilegal, pero no me imaginaba a Corea del Norte llevándome a juicio”, dijo a EL PAÍS.

Puedes seguir a EL PAÍS Tecnología en Facebook y X o apuntarte aquí para recibir nuestra newsletter semanal.