Imagina contratar a un desarrollador remoto, enviarle su laptop corporativa y descubrir que, en realidad, quien está al otro lado es un operativo de inteligencia de Corea del Norte. Esto no es ficción; es exactamente lo que una investigación conjunta logro capturar.
La Trampa
Los investigadores crearon un entorno controlado (una sandbox de larga duración que simulaba ser la laptop de un desarrollador real) y dejaron que un reclutador falso de Lazarus, bajo el alias “Aaron”, “contratara” a un perfil ficticio creado por ellos.
Lo que los atacantes no sabían es que cada clic, cada comando y cada movimiento del ratón estaba siendo grabado desde el otro lado.
La era del “Malware”
Lo más sorprendente de esta operación es la ausencia de virus deseables. Una vez que lograron acceder a la máquina, los operadores de Lazarus no instalaron puertas traseras complejos ni troyanos personalizados. Su herramienta de elección fue sorprendentemente simple: Escritorio remoto de Chrome.
El procedimiento capturado en cámara:
- Configuración Silenciosa: Utilizaron scripts de PowerShell para instalar y configurar Chrome Remote Desktop sin interfaz gráfica.
- Persistencia: Establecieron un PIN fijo para asegurar el acceso permanente.
- Reconocimiento: Ejecutaron comandos básicos de Windows (dxdiag, systeminfo, whoami) para asegurarse de que la máquina era potente y “real”.
- Conexión Segura: Enrutaron todo su tráfico a través de VPN de Astrill para ocultar su ubicación real (Pyongyang o zonas fronterizas).
El objetivo final no era destruir el equipo, sino mantener el empleo. Quería usar la identidad robada para cobrar un salario en dólares y enviarlo a Corea del Norte para financiar al régimen.
El peligro de “Vivir de la Tierra”
Este caso demuestra que las APT (Amenazas Persistentes Avanzadas) son pragmáticos. ¿Para qué arriesgarse a usar un malware que un antivirus puede detectar, ¿Si pueden usar una herramienta legítima de Google que el departamento de TI probablemente permita? Esto complica enormemente la detección, ya que el tráfico de Chrome Remote Desktop se ve como tráfico HTTPS normal hacia los servidores de Google.
Recomendaciones
- Entrevistas con Cámara Obligatoria: Muchos de estos “trabajadores fantasmas” se niegan a encender la cámara o usan avatares generados por IA. Exigir video en alta resolución durante las entrevistas es un primer filtro vital.
- Monitoreo de Software de Acceso Remoto: Los equipos de seguridad (SOC) deben alertar si detectan la instalación de Cualquier escritorio, Team Viewero Escritorio remoto de Chromeen equipos que no deberían tenerlos, Especialmente si se instala vía línea de comandos (PowerShell).
- Verificación de Identidad Física: No basta con una foto del pasaporte. Se deben usar servicios de validación de identidad que comprueben la biometría en vivo.
