El Departament de Justícia dels Estats Units (DoJ) va anunciar dilluns accions generals dirigides a l’operació de treballadors de tecnologia de la informació (TI) de Corea del Nord, que van provocar la detenció d’una persona i la confiscació de 29 comptes financers, 21 llocs web fraudulents i prop de 200 ordinadors.

L’acció coordinada va permetre cerques de 21 «granges d’ordinadors portàtils» conegudes o sospitoses entre el 10 i el 17 de juny de 2025, a 14 estats dels Estats Units, que els treballadors de TI de Corea del Nord van utilitzar per connectar-se de manera remota a les xarxes de les víctimes mitjançant ordinadors portàtils proporcionats per l’empresa.

«Els actors de Corea del Nord van comptar amb l’assistència d’individus als Estats Units, la Xina, els Emirats Àrabs Units i Taiwan, i van obtenir feina amb èxit amb més de 100 empreses nord-americanes», va dir el DoJ. 

L’operació de treballadors informàtics de Corea del Nord s’ha convertit en un dels engranatges crucials de la màquina de generació d’ingressos de la República Popular Democràtica de Corea del Nord (RPDC) per tal d’evitar les sancions internacionals. L’operació fraudulenta, descrita per l’empresa de ciberseguretat DTEX com a organització mafiosa patrocinada per l’estat, implica que actors de Corea del Nord obtenen feina amb empreses nord-americanes com a treballadors informàtics a distància, i fan servir una barreja d’identitats robades i fictícies.

Un cop aconsegueixen una feina, els treballadors informàtics reben pagaments salarials periòdics i tenen accés a la informació propietària de l’ocupador, inclosa la tecnologia militar dels EUA controlada pel que fa a les exportacions i la moneda virtual. En un incident, se suposa que els treballadors informàtics van aconseguir llocs de treball en una empresa de recerca i desenvolupament de cadena de blocs amb seu a Atlanta, de la qual no s’ha informat el nom, i van robar més de 900.000 dòlars en actius digitals.

Els treballadors informàtics de Corea del Nord són una amenaça seriosa perquè no només generen ingressos il·legals per al Regne ermità mitjançant el treball «legítim», sinó que també converteixen en armes el seu accés privilegiat per recollir dades delicades, robar fons i fins i tot extorsionar els seus empresaris a canvi de no revelar públicament les seves dades.

«Aquestes operacions apunten i roben les empreses nord-americanes i estan dissenyades per evadir sancions i finançar els programes il·lícits del règim de Corea del Nord, inclosos els seus programes d’armes», va dir el fiscal general adjunt John A. Eisenberg de la Divisió de Seguretat Nacional del Departament.

El mes passat, el DoJ va dir que havia presentat una denúncia de confiscació civil al Tribunal de Districte dels Estats Units del Districte de Colúmbia que tenia com a objectiu més de 7,74 milions de dòlars en criptomoneda, testimonis no fungibles (NFT) i altres actius digitals relacionats amb l’operació global de treballadors informàtics.

«Corea del Nord continua decidida a finançar els seus programes d’armes defraudant empreses nord-americanes i explotant víctimes nord-americanes de robatori d’identitat», va dir el subdirector Roman Rozhavsky de la Divisió de Contraintel·ligència de l’FBI. «Els treballadors informàtics de Corea del Nord que es fan passar per ciutadans nord-americans van obtenir feina de manera fraudulenta amb empreses nord-americanes perquè poguessin canalitzar centenars de milions de dòlars al règim autoritari de Corea del Nord.»

La principal de les accions anunciades dilluns inclou la detenció del ciutadà nord-americà Zhenxing «Danny» Wang de Nova Jersey, que ha estat acusat de perpetrar una operació de frau de diversos anys en connivència amb co-conspiradors per aconseguir treball informàtic remot amb empreses nord-americanes, i generar en última instància més de 5 milions de dòlars en ingressos.

Altres persones que van participar en el programa inclouen sis ciutadans xinesos i dos taiwanesos:

• Jing Bin Huang (靖斌 黄)
• Baoyu Zhou (周宝玉)
• Tong Yuze (佟雨泽)
• Yongzhe Xu (徐勇哲 i يونجزهي أكسو)
• Ziyou Yuan (زيو)
• Zhenbang Zhou (周震邦)
• Mengting Liu (劉 孟婷), i
• Enchia Liu (刘恩)

Segons l’acusació, els acusats i altres co-conspiradors van comprometre la identitat de més de 80 persones nord-americanes per obtenir treballs a distància en més de 100 empreses nord-americanes entre el 2021 i l’octubre del 2024. Es creu que els treballadors informàtics a l’estranger van ser assistits per facilitadors amb seu als Estats Units, Kejia «Tony» Wang, Zhenxing «Danny» Wang, i almenys quatre més. Kejia Wang fins i tot va viatjar a la Xina el 2023 per reunir-se amb co-conspiradors i treballadors informàtics a l’estranger i discutir el pla.

Per enganyar les empreses perquè pensessin que els treballadors remots estan als Estats Units, Wang i els altres van rebre i allotjar els ordinadors portàtils de l’empresa a les seves residències i van permetre que els actors de l’amenaça de Corea del Nord es connectessin a aquests dispositius mitjançant commutadors KVM (abreviatura de “teclat-vídeo-ratolí”) com ara PiKVM o TinyPilot.

«Kejia Wang i Zhenxing Wang també van crear empreses fictícies amb els llocs web i els comptes financers corresponents, com ara Hopana Tech LLC, Tony WKJ LLC i Independent Lab LLC, per fer veure que els treballadors informàtics a l’estranger estaven afiliats a empreses legítimes dels Estats Units», va dir el DoJ. «Kejia Wang i Zhenxing Wang van establir aquests i altres comptes financers per rebre diners d’empreses nord-americanes victimitzades, gran part dels quals es van transferir posteriorment a co-conspiradors estrangers.»

A canvi de proporcionar aquests serveis, es calcula que Wang i els seus co-conspiradors han rebut almenys 696.000 dòlars dels treballadors de TI.

A banda d’això, el districte del nord de Geòrgia va revelar una acusació de frau i blanqueig de diners de cinc càrrecs acusant quatre ciutadans de Corea del Nord, Kim Kwang Jin (김관진), Kang Tae Bok (강태복), Jong Pong Ju (정봉주) i Chang Nam Il (창남000), amb el robatori de més de 900.000 dòlars USA a una empresa de cadena de blocs ubicada a Atlanta.

Els documents judicials al·leguen que els acusats van viatjar als Emirats Àrabs Units amb documentació de Corea del Nord l’octubre de 2019 i van treballar junts en equip. En algun moment entre desembre de 2020 i maig de 2021, Kim Kwang Jin i Jong Pong Ju van ser contractats com a desenvolupadors per una empresa de cadena de blocs i una empresa sèrbia de tokens virtuals, respectivament. Aleshores, actuant per recomanació de Jong Pong Ju, l’empresa sèrbia va contractar Chang Nam Il.

Després que Kim Kwang Jin i Jong Pong Ju guanyessin la confiança dels seus empresaris i se’ls assignessin projectes que els donaven accés als actius en moneda virtual de l’empresa, els actors de l’amenaça van robar els actius al febrer i març del 2022, i en un dels casos alterant el codi font associat a dos dels contractes intel·ligents de l’empresa.

Els ingressos robats es van rentar després mitjançant un servei de mescla de criptomoneda conegut com a Tornado Cash i finalment es van transferir a comptes de canvi de moneda virtual controlats per Kang Tae Bok i Chang Nam Il. Aquests comptes, va informar el DoJ, es van obrir amb documents falsos d’identificació de Malàisia.

«Aquestes detencions són un recordatori poderós de les amenaces que representen els treballadors de la TI de la RPDC, que s’estenen més enllà de la generació d’ingressos», va dir Michael “Barni” Barnhart, investigador principal de riscs d’i3 Insider de DTEX, en un comunicat a The Hacker News. «Un cop a dins, poden dur a terme activitats malicioses des de xarxes de confiança, cosa que suposa greus riscos per a la seguretat nacional i les empreses d’arreu del món.»

«Les accions del govern dels Estats Units […] són absolutament de primer nivell i un pas crític per interrompre aquesta amenaça. Els actors de la RPDC fan servir cada cop més empreses pantalla i tercers de confiança per escapar de les garanties de contractació tradicionals, incloses les instàncies observades en aquelles que pertanyen a sectors delicats com ara el govern i la base industrial de defensa. Les organitzacions han de mirar més enllà dels canals de contractació i reavaluar tota la seva amenaça, perquè les amenaces s’adapten a mesura que nosaltres ens adaptem.»

Microsoft suspèn 3.000 comptes de correu electrònic vinculats a treballadors de TI

Microsoft, que fa un seguiment de l’amenaça dels treballadors informàtics sota el sobrenom de Jasper Sleet (anteriorment Storm-0287) des del 2020, va dir que ha suspès 3.000 comptes d’Outlook/Hotmail que se sap que han estat creats pels actors d’amenaça com a part dels seus esforços més amplis per interrompre les operacions cibernètiques de Corea del Nord. També es fa un seguiment del clúster d’activitats mitjançant Nickel Tapestry, Wagemole i UNC5267.

L’operació de frau dels treballadors comença amb la configuració d’identitats de manera que coincideixin amb la geolocalització de les seves organitzacions objectiu, després s’amplien digitalment a través de perfils de xarxes socials i carteres fabricades a plataformes orientades als desenvolupadors, com ara GitHub, per donar a les persones un aspecte de legitimitat.

El gegant tecnològic va denunciar l’explotació d’eines d’intel·ligència artificial (IA) per part dels treballadors de les TI per millorar les imatges i canviar les veus per tal d’augmentar la credibilitat dels seus perfils laborals i semblar més autèntics davant dels empresaris. També s’ha descobert que els treballadors informàtics configuren perfils falsos a LinkedIn per comunicar-se amb els contractants i sol·licitar feina.

«Aquests treballadors altament qualificats es troben sovint a Corea del Nord, la Xina i Rússia, i fan servir eines com ara xarxes privades virtuals (VPN) i eines de supervisió i gestió remota (RMM) juntament amb còmplices intel·ligents per ocultar les seves ubicacions i identitats», va dir l’equip de Microsoft Threat Intelligence. 

Una altra tàctica destacada i adoptada per Jasper Sleet gira al voltant de la publicació d’anuncis de feina de facilitador sota l’aparença d’associacions laborals remotes per ajudar els treballadors de TI a assegurar-se una feina, passar controls d’identitat i treballar de manera remota. A mesura que la relació amb els facilitadors creix, també se’ls pot encarregar que creïn un compte bancari per als treballadors informàtics, o comprar números de telèfon mòbil o targetes SIM.

A més, els còmplices intel·ligents són els responsables de validar les identitats falses dels treballadors informàtics durant el procés de verificació d’ocupació mitjançant proveïdors de serveis de verificació d’antecedents en línia. Els documents falsos o robats presentats inclouen carnets de conduir, targetes de la seguretat social, passaports i targetes d’identificació de resident permanent.

Com a forma de contrarestar l’amenaça, Microsoft va dir que ha desenvolupat una solució d’aprenentatge automàtic personalitzada, impulsada per intel·ligència d’amenaces patentada, que pot descobrir comptes sospitosos que presenten comportaments que s’alineen amb les habilitats comercials conegudes de la RPDC per a accions posteriors.

«L’operació fraudulenta de treballadors remots de Corea del Nord ha evolucionat des d’aleshores i s’ha consolidat com una operació ben desenvolupada que ha permès als treballadors remots de Corea del Nord infiltrar-se en funcions relacionades amb la tecnologia a diversos sectors», va dir Redmond. «En alguns casos, les organitzacions víctimes fins i tot han informat que els treballadors informàtics remots eren alguns dels seus empleats amb més talent.»