Cómo un falso trabajador informático norcoreano intentó infiltrarse

KnowBe4 necesitaba un ingeniero de software para su equipo interno de inteligencia artificial de TI. Se publicó la oferta de empleo, se recibieron curriculums, y se contrató a la persona. Tras recibir su equipo trabajo, el nuevo empleado inmediatamente comenzó a cargar malware. A pesar de múltiples verificaciones y entrevistas, el individuo había usado una identidad robada con sede en EE. UU., mejorada con IA.

La solución EDR detectó y alertó al Centro de Operaciones de Seguridad (SOC) de KnowBe4 sobre actividades sospechosas. Tras una investigación más detallada con la colaboración de Mandiant y el FBI, se descubrió que el nuevo empleado era un falso trabajador de TI de Corea del Norte utilizando una imagen falsificada por IA.

El 15 de julio de 2024, se detectaron actividades sospechosas en la cuenta del nuevo empleado. El SOC intentó contactar con el usuario, quien alegó estar solucionando un problema de velocidad con su enrutador. Sin embargo, el individuo realizó varias acciones maliciosas, incluyendo la manipulación de archivos y la ejecución de software no autorizado utilizando una Raspberry Pi. El SOC contuvo el dispositivo y se confirmó que se trataba de una amenaza interna o de un actor estatal.

Realizaba lo siguiente:

  • El falso trabajador solicitó que le enviaran a su estación de trabajo una «granja de equipos portátiles TI». Luego, se conectaba mediante una VPN desde Corea del Norte o China, aparentando trabajar en Estados Unidos. Esta estafa implica realizar el trabajo y enviar grandes cantidades de dinero a Corea del Norte para financiar programas ilegales. Afortunadamente, los controles internos de KnowBe4 detectaron la actividad.

Recomendaciones:

  • Revisar y fortalecer los procesos de verificación de antecedentes.
  • Implementar monitoreo mejorado para detectar intentos continuos de acceso a los sistemas.
  • Revisar y fortalecer los controles de acceso y autenticación.
  • Escanear dispositivos remotos para asegurar que nadie acceda a ellos de forma remota.
  • Realizar un escaneo exhaustivo de los curriculum vitae para detectar inconsistencias profesionales.

A qué prestar atención:

  • Uso de números VOIP y falta de huella digital para la información de contacto proporcionada.
  • Discrepancias en la dirección y la fecha de nacimiento en distintas fuentes.
  • Información personal conflictiva (estado civil, «emergencias familiares» que expliquen la falta de disponibilidad).
  • Uso sofisticado de VPN o máquinas virtuales para acceder a los sistemas de la empresa.
  • Intento de ejecución de malware y posteriores esfuerzos de encubrimiento.

Referencias: