Los funcionarios del FBI dicen que las granjas de computadoras portátiles son una forma clave en que los equipos de TI de Corea del Norte engañan a las empresas estadounidenses haciéndoles creer que sus trabajadores remotos están en los EE. UU., proporcionándoles una dirección física y una conexión a Internet de los EE. UU. para enviar las computadoras portátiles por correo. Una vez equipados con herramientas y software de acceso remoto específicos, los empleados pueden iniciar sesión en esas computadoras portátiles de forma remota.
Hasta ahora, al menos 10 presuntos facilitadores radicados en Estados Unidos han sido acusados a nivel federal, incluido un miembro en servicio activo del ejército estadounidense, por su presunto papel en albergar granjas de portátiles, lavar pagos y mover dinero a través de empresas fantasma. Los documentos judiciales identificaron al menos a seis presuntos asistentes estadounidenses, pero no los nombraron.
En un caso, un ciudadano estadounidense, Kejia “Tony” Wang, viajó a China en 2023 para reunirse con cómplices y trabajadores de TI en Shenyang y Dandong, según documentos judiciales. A Wang le enviaron computadoras portátiles desde más de 100 empresas estadounidenses, incluidas contratistas de defensa con sede en California, que también crearon empresas fantasma para ayudar a enviar los salarios ganados al extranjero. Wang Se declaró culpable Los cargos relacionados con fraude electrónico, lavado de dinero y robo de identidad esperan sentencia el próximo mes.
“Creemos que hay cientos de otras personas participando en estos planes”, dijo el subdirector del FBI Rojawski. “Nunca podrían lograrlo si no contaran con facilitadores dispuestos en Estados Unidos para ayudarlos”.
Una vez que se gana dinero ilegal, es necesario consolidarlo y convertirlo en moneda emitida por el gobierno. Los equipos norcoreanos suelen recurrir a la investigación de redes chinas para blanquear su dinero, según informes de la industria.
“Todos los tipos malos que puedas imaginar están utilizando blanqueadores de dinero chinos. Así es como el dinero se mueve internacionalmente”, dijo Nick Carlsen, investigador principal del equipo de investigaciones globales de la empresa de análisis blockchain TRM Labs y ex analista de inteligencia del FBI centrado en Corea del Norte.
Desde que Kim Jong Un asumió el poder en 2011, Corea del Norte ha perfeccionado y ampliado una cartera de operaciones de delitos cibernéticos más allá del trabajo de TI, generando miles de millones de dólares en robos de criptomonedas, incluido un atraco récord de 1.500 millones de dólares el año pasado. El FBI. Los analistas dicen que las operaciones han hecho a Kim más rico y geopolíticamente relevante que nunca, validando sus opiniones de larga data sobre las operaciones cibernéticas. “Espada multiusos”.
En los últimos años, la asociación de Corea del Norte con las redes chinas de lavado de dinero ha desbloqueado un nuevo nivel de velocidad y eficiencia que los operadores norcoreanos no podrían alcanzar de forma independiente.
“El elemento transformador es la existencia de estas redes financieras chinas ultralíquidas”, dijo Carlsen. “Pueden absorber una gran cantidad de dinero, convertirlo y transferir lo que quieran a la moneda local. Ese es el gran cambio”.
La mayoría de estos intermediarios operan en el sur de China y el sudeste asiático (incluidos Myanmar, Hong Kong, Macao y la provincia china de Fujian) moviendo rápidamente criptomonedas a través de cadenas de bloques utilizando los llamados “mezcladores” que dividen los fondos robados en partes más pequeñas para ocultar su origen. Andrew Fierman, jefe de inteligencia de seguridad nacional de la empresa de seguimiento de blockchain Chainalysis, dijo que los ingresos de los trabajadores de TI suelen ser más pequeños e involucran a menos intermediarios, mientras que los atracos de criptomonedas más grandes requieren cadenas de lavado complejas y de múltiples capas.
Carlsen señaló que la financiación tanto de los planes de trabajadores de TI como de los robos de criptomonedas a menudo terminaba en manos de corredores chinos involucrados en sindicatos del crimen organizado. “Se ve la superposición con el escándalo de la matanza de cerdos y los cárteles de la droga”, dijo. “Estas son las mismas redes que absorben este dinero”. Las criptomonedas han facilitado esa convergencia. “Es el lubricante”, añadió. “El aceite que permite que todos estos engranajes se comuniquen entre sí”.
El gobierno de Estados Unidos ha tomado algunas medidas para contrarrestar el plan de trabajadores de TI de Corea del Norte, pero los expertos advierten que la amenaza se está intensificando a medida que crece el uso de IA en trabajadores de todo el mundo.
Los analistas de seguridad cibernética dicen que el equipo policial estadounidense está luchando por mantenerse al día con la escala y la sofisticación de las operaciones cibernéticas de Pyongyang. Muchas de las personas involucradas operan desde países que no tienen tratados de extradición con Estados Unidos, lo que los coloca fuera del alcance de las autoridades estadounidenses.
“Es un juego de topos. Es prácticamente imposible interrumpirlo por completo”, dijo Carlsen. “Es simplemente un proceso interminable”.
Sostiene que la estrategia más eficaz es hacer que los esquemas sean menos rentables eliminando su capacidad de generar efectivo a través de empresas de lavado de dinero.
El gobierno de Estados Unidos ha intensificado sus esfuerzos para lograrlo. Departamento del Tesoro el jueves permitido Seis personas y dos organizaciones por sus funciones en planes de trabajadores de TI administrados por el gobierno de la RPDC, incluidos facilitadores con sede en Corea del Norte, Vietnam, Laos y España.
El otoño pasado, las autoridades federales anunciaron cargos penales, decomisos, sanciones y congelaciones de activos contra las actividades cibernéticas ilícitas de Corea del Norte.
En OctubreEl Departamento del Tesoro ha aislado al Grupo Huwon, con sede en Camboya, una red de garantía financiera, del sistema financiero estadounidense, alegando que lavó miles de millones en dinero ilícito, incluidos al menos 37 millones de dólares en criptomonedas, vinculados a operaciones de Corea del Norte. Semanas después, ocho individuos y dos organizaciones, entre ellos banqueros e instituciones norcoreanos, permitido Para el lavado de fondos derivados de delitos cibernéticos y esquemas de fraude a trabajadores de TI.
Corea del Norte, por su parte, ha negado haber actuado mal.
El año pasado, después de que el Departamento de Justicia acusara a varios norcoreanos por su presunto papel en el proyecto, el ministro de Asuntos Exteriores del país denunció la medida estadounidense como “una campaña de difamación absurda” dirigida a una “inexistente ‘amenaza cibernética’ de la RPDC”, informó la Agencia Central de Noticias de Corea.
Respondiendo a preguntas sobre la participación de ciudadanos chinos en el plan, el portavoz de la embajada china, Liu Pengyu, dijo: “Nos oponemos a las acusaciones falsas y difamaciones que no tienen base fáctica”.
El esquema en sí es cada vez más complejo. Los equipos de TI de Corea del Norte ahora están subcontratando trabajo a desarrolladores en Pakistán, Nigeria e India, expandiéndose a áreas como servicio al cliente, procesamiento financiero, seguros y servicios de traducción, roles mucho menos examinados que el desarrollo de software.
“A menos que tengas información externa, es posible que no sepas que son norcoreanos”, dijo Michael Barnhart, quien dirige la inteligencia de amenazas de estados-nación en DTEX. “Están tratando de llegar a puestos de mando intermedio y está funcionando”.
Esa expansión también significa preocupaciones de que los agentes norcoreanos puedan poner en peligro vidas y causar daños en el mundo real, algo que Barnhart ha visto de cerca.
En 2021, como parte Ola de ataque En la NASA y en bases militares, un equipo de hackers norcoreanos infectó los sistemas informáticos de un hospital de Kansas con ransomware, paralizó los servidores y exigió aproximadamente 100.000 dólares en bitcoins para restaurar su funcionalidad. El hospital pagó el dinero. Barnhart ayudó en las investigaciones de piratería junto con el FBI, y fue este incidente el que le dejó claro que los equipos de piratería maliciosa en Corea del Norte a veces cooperaban con equipos de TI para apoyar sus misiones, algo que no era muy conocido en ese momento.
Lo que vio fue a un operador de piratería dedicado a trabajos de TI, incluida la puesta en el trabajo de otros trabajadores de TI. Las ganancias de estas operaciones respaldaron las principales operaciones de malware de la unidad de piratería para infiltrarse en computadoras contra gobiernos o víctimas tecnológicas de EE. UU., Corea del Sur y China.
“Comenzó como generación de ingresos, pero las líneas se vuelven cada vez más borrosas. Si llega el momento, tendrán piezas de ajedrez entre organizaciones de todo el mundo y empezarán a actuar desde adentro”, dijo.
Rozvasky expresó preocupaciones similares.
“Incluso si una empresa se deshace de ellos, no sabemos qué puertas traseras podrían dejar para un acceso futuro”, afirmó. “Así que definitivamente es una bomba de tiempo que podría tener consecuencias negativas en el futuro”.
Los legisladores también buscan defensas más sólidas. Sentido. Gary Peters, demócrata de Michigan, y Mike Rounds, RS.D. Introdujo la Ley para Proteger a Estados Unidos de las Amenazas Cibernéticas, que renovaría autoridades clave de ciberseguridad por otra década y alentaría a empresas privadas como Nisos a compartir información sobre amenazas cibernéticas con el gobierno federal.
Aún así, miles de trabajadores, la fuerza impulsora detrás de los esquemas de TI, siguen fuera de su alcance, la mayoría de ellos ubicados en China.
“Estas son las personas más inteligentes de Corea del Norte. Es una especie de tragedia”, dijo Carlsen. “Tomaron a sus mejores y más brillantes y los convirtieron en criminales”.
