Prueba con "investigadoras"
Tecnología
Aactualidad Mundial
spot_img

Investigadores capturan en vivo en cámara el plan de trabajo remoto de Lazarus APT

Investigadores capturan en vivo en cámara el plan de trabajo remoto de Lazarus APT

Una investigación conjunta dirigida por Mauro Eldritch, fundador de BCA LTDrealizado junto con la iniciativa de inteligencia sobre amenazas Exploración Norte y CUALQUIER EJECUCIÓN, una solución para análisis interactivo de malware e inteligencia sobre amenazas, ha descubierto uno de los esquemas de infiltración más persistentes de Corea del Norte: una red de trabajadores de TI remotos vinculados a la famosa división Chollima del Grupo Lazarus.

Por primera vez, los investigadores pudieron observar trabajar a los operadores. vivircapturando su actividad en lo que creían que eran portátiles de desarrolladores reales. Las máquinas, sin embargo, eran entornos sandbox de larga duración y totalmente controlados creados por ANY.RUN.

La configuración: reclutarlos y luego dejarlos entrar

Captura de pantalla de un mensaje de un reclutador que ofrece una oportunidad de trabajo falsa

La operación comenzó cuando el NorthScan Heiner García se hizo pasar por un desarrollador estadounidense objetivo de un reclutador de Lazarus utilizando el alias «Aaron» (también conocido como «Blaze»).

Haciéndose pasar por un «negocio» de colocación laboral, Blaze intentó contratar al desarrollador falso como líder; una conocida táctica de Chollima utilizada para introducir trabajadores de TI norcoreanos en empresas occidentales, principalmente en el finanzas, criptografía, atención médica e ingeniería sectores.

El proceso de las entrevistas.

El plan siguió un patrón familiar:

  • robar o tomar prestada una identidad,
  • pasar entrevistas con herramientas de inteligencia artificial y respuestas compartidas,
  • trabajar de forma remota a través del ordenador portátil de la víctima,
  • canalizar el salario de vuelta a la RPDC.

Una vez que Blaze solicitó acceso completo, incluido SSN, ID, LinkedIn, Gmail y disponibilidad de computadora portátil las 24 horas, los 7 días de la semana, el equipo pasó a la fase dos.

LEER  Los investigadores revelan un ataque de Revault dirigido al firmware Dell ControlVault3 en más de 100 modelos de computadora portátil

La trampa: una «granja de portátiles» que no era real

Un entorno virtual seguro proporcionado por Interactive Sandbox de ANY.RUN

En lugar de utilizar una computadora portátil real, Mauro Eldritch de BCA LTD implementó las máquinas virtuales de ANY.RUN Sandbox, cada una configurada para parecerse a una estación de trabajo personal completamente activa con historial de uso, herramientas de desarrollo y enrutamiento de proxy residencial en EE. UU.

El equipo también podría forzar choques, acelerar la conectividad y capturar instantáneas de cada movimiento sin alertar a los operadores.

Lo que encontraron dentro de la caja de herramientas del famoso Chollima

Las sesiones de entorno de pruebas expusieron un conjunto de herramientas sencillo pero eficaz creado para la adquisición de identidades y el acceso remoto en lugar de la implementación de malware. Una vez sincronizado su perfil de Chrome, los operadores cargaron:

  • Herramientas de automatización del trabajo impulsadas por IA (Simplify Copilot, AiApply, Final Round AI) para completar automáticamente solicitudes y generar respuestas a entrevistas.
  • Generadores de OTP basados ​​en navegador (OTP.ee / Authenticator.cc) para manejar la 2FA de las víctimas una vez que se recopilaron los documentos de identidad.
  • Escritorio remoto de Googleconfigurado a través de PowerShell con un PIN fijo, que proporciona un control persistente del host.
  • Rutina reconocimiento del sistema (dxdiag, systeminfo, whoami) para validar el hardware y el entorno.
  • Conexiones enrutadas consistentemente a través de Astrill VPNun patrón vinculado a la infraestructura anterior de Lazarus.

En una sesión, el operador incluso dejó un mensaje en el Bloc de notas pidiendo al «desarrollador» que cargara su ID, SSN y datos bancarios, confirmando el objetivo de la operación: identidad completa y toma de control de la estación de trabajo sin implementar una sola pieza de malware.

LEER  Servidores web de Taiwán violados por UAT-7237 utilizando herramientas personalizadas de piratería de código abierto

Una advertencia para empresas y equipos de contratación

La contratación remota se ha convertido en un punto de entrada silencioso pero confiable para las amenazas basadas en la identidad. Los atacantes suelen llegar a su organización dirigiéndose a empleados individuales con solicitudes de entrevistas aparentemente legítimas. Una vez dentro, el riesgo va mucho más allá de un solo trabajador comprometido. Un infiltrado puede obtener acceso a paneles internos, datos comerciales confidenciales y cuentas de nivel de administrador que tienen un impacto operativo real.

Crear conciencia dentro de la empresa y brindar a los equipos un lugar seguro para verificar cualquier cosa sospechosa puede ser la diferencia entre detener un enfoque temprano y lidiar con un compromiso interno en toda regla más adelante.

spot_img
Artículo anterior
Gavin Newsom incendia a Trump con un clip viral que alega que se quedó dormido en una reunión de gabinete mientras sus asistentes elogiaban su liderazgo en Ucrania
Artículo siguiente
Los sindicatos franceses organizan una nueva huelga contra el presupuesto mientras disminuye la participación electoral en todo el país

En Actualidadmundial, nos apasiona informar con veracidad, precisión y rapidez. Nuestro objetivo es mantener a nuestra audiencia al día con los acontecimientos más relevantes a nivel global. Creemos que la información es una herramienta poderosa que permite tomar mejores decisiones y entender el mundo en constante evolución.

Últimas noticias

Temas

© 2025 Todos los derechos reservados | Desarrollado por Actualidadmundial