Búsqueda de Ciberamenazas

NICKEL TAPESTRY amplía sus operaciones fraudulentas

La trama de trabajadores informáticos norcoreanos se expande a organizaciones de Europa y Asia y a sectores más allá del tecnológico
Escrito por
9 mayo 2025
Security Operations Threat Research ctu Democratic People’s Republic of Korea employment scam featured nickel tapestry

Con esta publicación, el blog X-Ops se complace en presentar la investigación de nuestros compañeros de Sophos que se han incorporado recientemente procedentes de Secureworks, de la que CTU (Counter Threat Unit™) es una parte fundamental.

Los trabajadores informáticos norcoreanos siguen siendo una amenaza interna crítica

Los investigadores de la Counter Threat Unit™ (CTU) continúan investigando el plan del grupo de amenazas NICKEL TAPESTRY, que involucra a trabajadores fraudulentos que operan en nombre de Corea del Norte (conocida oficialmente como República Popular Democrática de Corea).

Los orígenes de esta campaña, conocida públicamente como Wagemole, se remontan a 2018, aunque los vínculos de infraestructura sugieren que NICKEL TAPESTRY lleva llevando a cabo planes para obtener dinero desde al menos 2016. Se ha producido un aumento de los ataques contra organizaciones europeas y japonesas en esta campaña, probablemente como resultado de la mayor concienciación de las organizaciones con sede en Estados Unidos y de las medidas adoptadas para combatir la amenaza. Los solicitantes fraudulentos que se presentan a puestos de trabajo en Japón y Estados Unidos se han hecho pasar por profesionales vietnamitas, japoneses y singapurenses, además de seguir suplantando a profesionales estadounidenses.

Hay pruebas que sugieren que los autores de las amenazas adaptan sus identidades con el tiempo para evadir la detección. Los trabajadores fraudulentos han anunciado históricamente habilidades en el desarrollo de software web y blockchain, pero solicitan puestos en una amplia gama de sectores, no solo en empresas del sector tecnológico. En 2025, ampliaron su enfoque para incluir puestos de ciberseguridad y aumentaron el uso de identidades femeninas.

Si bien el objetivo principal de los autores de las amenazas es obtener un salario que financie los intereses del Gobierno norcoreano, un método secundario de generación de ingresos es la extorsión mediante el robo de datos. En 2024 se denunciaron varios intentos que dieron lugar a una advertencia de la Oficina Federal de Investigación (FBI) de EE. UU. en enero de 2025. La extorsión derivada del robo de código fuente y propiedad intelectual es una amenaza constante de NICKEL TAPESTRY, especialmente después de que se haya despedido a un trabajador fraudulento. El robo de datos puede producirse a los pocos días de la contratación y utilizarse solo para coaccionar una vez finalizada la relación laboral.

Además, las organizaciones corren el riesgo de sufrir actividades tradicionales de amenazas internas por parte de los trabajadores fraudulentos norcoreanos. Estas actividades pueden incluir el acceso no autorizado a la nube y a los backends de API, así como el robo de credenciales y conocimientos institucionales, como secretos comerciales. También existe el riesgo de que el acceso obtenido por uno de estos trabajadores de TI sea utilizado por otros grupos de amenazas norcoreanos con fines maliciosos.

Durante la fase previa a la contratación, los actores maliciosos suelen manipular digitalmente fotos para falsificar sus currículos y perfiles de LinkedIn, y para acompañar su experiencia laboral previa o sus afirmaciones sobre proyectos en grupo. Suelen utilizar fotos de archivo superpuestas con imágenes reales de ellos mismos. Los actores maliciosos también han aumentado el uso de la IA generativa, incluyendo herramientas de escritura, herramientas de edición de imágenes y creadores de currículos.

Tras su colocación en una empresa, los trabajadores fraudulentos han utilizado utilidades de mouse jiggler, software VPN, soluciones alternativas para eludir la configuración predeterminada del sistema en cuanto a fuente e idioma, y KVM over IP (control remoto de teclado, vídeo y ratón) para acceder de forma remota. Las organizaciones afectadas también observaron la instalación de múltiples herramientas de supervisión y gestión remota (RMM) en un solo sistema y el uso de llamadas Zoom prolongadas (más de ocho horas) para compartir pantallas. Algunos trabajadores fraudulentos han insistido en obtener permiso para utilizar un ordenador personal en lugar de uno de la empresa, evitando así la necesidad de que un facilitador reciba un ordenador portátil en su nombre. Los dispositivos personales suelen tener menos controles de seguridad corporativos.

Las organizaciones deben permanecer alerta

La mitigación de esta amenaza se centra en la vigilancia humana. Los investigadores de CTU™ recomiendan que las organizaciones establezcan procedimientos mejorados de verificación de la identidad como parte de su proceso de entrevistas. El personal de recursos humanos y los reclutadores deben recibir información actualizada periódicamente sobre las tácticas utilizadas en estas campañas para ayudarles a identificar a los posibles trabajadores informáticos norcoreanos fraudulentos. Además, las organizaciones deben vigilar las actividades tradicionales de amenazas internas, el uso sospechoso de herramientas legítimas y las alertas de viajes imposibles para detectar actividades que suelen estar asociadas a los trabajadores fraudulentos.

Durante el proceso de entrevista:

  • Solicita a los candidatos una prueba de identidad verificada, que idealmente se presente en persona al menos una vez.

  • Revisa la presencia online del candidato para verificar la coherencia de su nombre, apariencia, historial laboral y formación académica.

  • Vigila si hay varios candidatos que utilizan currículos clonados o los mismos números de teléfono. Comprueba si los números de teléfono están vinculados a servicios de voz sobre IP (VoIP) en lugar de a servicios de telefonía móvil o fija.

  • Verifica el historial laboral a través de canales oficiales en lugar de los contactos proporcionados por el candidato y confirma que las direcciones y los números de teléfono de la empresa se corresponden con los sitios web oficiales de la misma.

  • Durante las entrevistas, haz preguntas informales sobre la ubicación, el historial laboral o la formación académica del candidato, prestando atención a las respuestas que indiquen una falta de experiencia real o que contradigan sus afirmaciones (por ejemplo, no saber el tiempo que hace en la ubicación que dice estar).

  • Desconfía de los candidatos que afirman ser hablantes nativos de inglés si tienen un nivel básico o intermedio.

  • Realiza entrevistas en persona o por vídeo y pide al candidato que desactive, al menos temporalmente, los fondos virtuales y otros filtros digitales.

  • Realiza comprobaciones de antecedentes a través de una autoridad de confianza.

Durante la incorporación:

  • Comprueba que la identidad del empleado que se incorpora coincide con la del candidato contratado.

  • Desconfía de las solicitudes de última hora para cambiar la dirección de envío de los ordenadores portátiles de la empresa e indica a los mensajeros que no permitan el redireccionamiento a una nueva dirección después del envío.

  • Desconfía de la insistencia en utilizar un dispositivo personal en lugar de un sistema de la empresa.

  • Verifica que la información bancaria no se redirija a un servicio de transferencia de dinero.

  • Examina con detenimiento las solicitudes de última hora para cambiar la información de pago del empleado o las solicitudes repetidas en un breve periodo de tiempo para cambiar la información de la cuenta bancaria.

  • Rechaza las solicitudes de pago por adelantado.

Después de la contratación:

  • Restringe el uso de herramientas de acceso remoto no autorizadas.

  • Limita el acceso a los sistemas que no sean esenciales.

  • Desconfía de las negativas a encender la cámara durante las llamadas, la preocupación injustificada por las reuniones presenciales y los ruidos de fondo en las llamadas de voz que puedan sugerir que el empleado está trabajando desde un centro de llamadas o una sala concurrida.

  • Supervisa el ordenador portátil del empleado con un software antivirus y de detección y respuesta de endpoints (EDR). Correlaciona las conexiones de red a través de servicios VPN, en particular servicios VPN residenciales extranjeros o Astrill VPN.

La ciberseguridad es un deporte de equipo, y otros investigadores también han estado investigando esta amenaza. Spur y Google han publicado recursos útiles que cubren Astrill VPN y otras infraestructuras utilizadas por NICKEL TAPESTRY.

Acerca del autor

Naked Security es el blog oficial de Sophos en inglés en el que se cometan las últimas noticias sobre ciberseguridad.

Leer artículos similares

Dejar un comentario

Your email address will not be published. Required fields are marked *