Este trabajo es una colaboración entre integrantes de ANY.RUN, la plataforma líder en sandboxes y análisis de malware, NorthScan, una iniciativa de threat intelligence enfocada en descubrir operaciones de espionaje de Corea del Norte, y BCA LTD, nuestra compañía dedicada a inteligencia y cacería de amenazas.

En este artículo vamos a exponer una operación de inteligencia norcoreana destinada a ubicar trabajadores remotos en empresas de los sectores financiero y Crypto/Web3, con el objetivo de realizar espionaje corporativo y generar fondos para el régimen sancionado. Atribuimos este esfuerzo al APT (Amenaza Persistente Avanzada) patrocinado por el Estado conocido como Lazarus, específicamente a la división Famous Chollima.

Dividimos este trabajo en dos etapas: contactar a uno de sus reclutadores, construir una relación de confianza y recibir una oferta para ayudarlos a conseguir laptops corporativas “para trabajar” (llevado a cabo por Heiner García Pérez de NorthScan), y luego montar una “granja de laptops” simulada usando entornos sandbox provistos por ANY.RUN, para grabar su actividad en tiempo real y analizar su cadena de herramientas y TTPs (llevado a cabo por Mauro Eldritch de BCA LTD).

Todas las entrevistas con los agentes de la RPDC y sus actividades dentro de la granja de laptops fueron grabadas de principio a fin, en un esfuerzo sin precedentes que documenta públicamente sus operaciones desde adentro…

… por primera vez en la historia.

Introducción: Los espías

Presentando a Famous Chollima. Por Mauro Eldritch (BCA LTD).

Hay una larga historia de golpes cibercriminales atribuidos al grupo Lazarus. Son de los actores de amenazas más creativos: desde hackear exchanges y puentes crypto hasta montar entrevistas técnicas falsas para infectar candidatos, lo han intentado todo.

Sus tácticas de ingeniería social suelen ser audaces. En una campaña reciente, organizaron entrevistas de trabajo falsas apuntando a desarrolladores crypto donde compartían ejercicios técnicos maliciosos. En otra (más reciente), se hicieron pasar por inversores y apuntaron a startups que buscaran financiamiento. Durante esas llamadas, los “inversores” fingían no escuchar a las víctimas por más que hablen, sugiriendo reagendar la llamada para dentro de algunos meses. Eventualmente, alguien del grupo de inversores comparte un “parche para arreglar el audio” y, en medio de la desesperación por perder la oportunidad de su vida, la víctima lo ejecuta y termina infectada.

En estos últimos años analicé distintas variantes de malware de su autoría, y hasta descubrí y nombré algunas de ellas. Ninguna era especialmente sofisticada, pero eso me dejó una enseñanza clave para esta investigación: cuando caés con Lazarus casi nunca es por un zero-day o por una cadena de exploits compleja, sino por una buena historia. Podrán ser programadores mediocres, pero como actores son excelentes. Y esa es la esencia de Famous Chollima: casi nada de malware, pura actuación.

Esta división se enfoca en conseguir trabajos en empresas occidentales, sobre todo en los sectores financiero, crypto y salud, aunque últimamente expandieron su alcance a ingeniería civil y arquitectura. Una vez dentro pueden hacer espionaje corporativo mientras generan fondos “limpios” que terminan en manos de la República Popular Democrática de Corea, un régimen sancionado económicamente. Se cree que parte de ese dinero financia su programa de misiles balísticos.

Para lograr esos puestos usan dos métodos claros. El primero consiste en robar identidades y CVs de otros ingenieros y presentarse ellos mismos a las entrevistas, una maniobra temeraria que vimos varias veces durante esta investigación. El segundo apunta a enganchar ingenieros (especialmente juniors) para que “trabajen para ellos”. Dicen tener una empresa de unos diez desarrolladores y solo necesitan que la víctima se presente a las entrevistas laborales, dándole apoyo técnico para pasar cada etapa. Si consigue una oferta, no tiene que trabajar: todo lo delega al equipo de desarrolladores fantasma, y recibe un 35% del salario mensual mientras dure el contrato.

El ingeniero entonces tiene que aceptar la oferta, recibir el equipo corporativo (la laptop) y permitir que uno de los “desarrolladores fantasma” se conecte de forma remota para “trabajar”. Sus únicas responsabilidades reales son asistir a los dailies (las reuniones diarias) y aparecer en alguna otra llamada donde tenga que mostrar la cara.

Aunque la propuesta puede sonar tentadora, la realidad es que el ingeniero está alquilando su identidad. Y va a ser la única persona responsable por cualquier daño material, intelectual, reputacional o económico causado a la empresa víctima.

Las agencias federales ya realizaron arrestos en relación a estas operaciones y están activamente tratando de desarticular tanto las granjas de laptops como los clusters de trabajadores IT norcoreanos.

Mientras lideraba el Quetzal Team en Bitso (el primer equipo de investigación de amenazas Web3 en Latinoamérica), pude documentar varios encuentros con distintas divisiones de Lazarus. A veces nos intentaban hacer ejecutar malware, y otras veces, como en este caso, buscaban conseguir un puesto con nosotros. Para este último escenario escribí una saga extensa llamada Interview with the Chollima (Entrevista con un Chollima), donde registramos sus interacciones y recolectamos inteligencia en tiempo real.

Al mando de BCA LTD los encuentros fueron un poco menos diplomáticos. Uno de nuestros clientes fue víctima de la pantomima de los “inversores sordos”, y en un descuido terminaron infectándose con un malware hasta el momento desconocido. Lo bautizamos “Chaotic Capybara” y le dedicamos una Edición Especial (“Cómo domar un Chollima”).

Edición Especial: Cómo domar un Chollima

Mauro Eldritch, Emmanuel Di Battista, y 3 otros

·

Mar 24

Read full story

Creo que con esto alcanza como introducción para entender a nuestros “anfitriones” de hoy. No son monstruos, son personas comunes. Están a un par de clics y una oferta laboral sospechosamente buena de distancia de aparecer en tu vida o convertirse en tu supuesto “compañero de trabajo” remoto.

Y para el próximo capítulo, eso tiene que pasar.

Uno de nosotros tiene que ser reclutado y hacer una pasantía en Lazarus.

Y Heiner fue el valiente que aceptó ese desafío.

Capítulo I: El chico nuevo

Cómo me reclutó Famous Chollima. Por Heiner García Pérez (NorthScan).

El primer acercamiento con el reclutador fue vía GitHub. Un cluster de cuentas estaba spameando repositorios con un mensaje raro, siempre el mismo, pegado como pull request en proyectos de distintos desarrolladores:

Estuve revisando tu perfil de GitHub y LinkedIn.

Realmente aprecio tus buenas habilidades.

Quisiera ofrecerte una oportunidad que creo que podría interesarte.

Dirijo un negocio de búsqueda laboral con sede en Estados Unidos y noté que tienes experiencia trabajando con empresas de ese país. La idea es la siguiente:

Típicamente tengo unas cuatro entrevistas por día, lo cual está siendo difícil de manejar. Estoy buscando a alguien que pueda asistir a estas entrevistas en mi nombre, usando mi nombre y mi currículum. Si te interesa, podría ser una muy buena forma de aumentar tus ingresos. Así es como funcionaría:

Tu te encargarías de las entrevistas técnicas (los temas pueden ir desde .NET, Java, C#, Python, JavaScript, Ruby, Golang, Blockchain, etc).

No te preocupes por las preguntas; puedo ayudarte a cómo responder de manera efectiva. Si la entrevista sale bien y recibimos una oferta, yo me encargo del background check y de todos los trámites.

Después de conseguir el trabajo, podrías trabajar en el proyecto tu mismo, o simplemente encargarte de los daily standups, ya que tengo un equipo de cinco desarrolladores con experiencia que pueden cubrir la parte técnica.

En cuanto al pago, podemos dividir el salario y podrías esperar unos 3000 dólares por mes. Avisame si esta oportunidad te interesa.

Si conoces a alguien en tu red a quien también le pueda interesar, puedes referirlo y te compensaré por la recomendación. Y después puedo contarte más detalles.

Saludos,

Neyma Diaz

[Enlace a Calendly]

Cuando tengas un momento libre, agenda la reunión aquí. Espero saber de ti pronto. Gracias.

Este mensaje genérico se enviaba públicamente a decenas de desarrolladores como pull requests (pedidos de cambios) en sus propios repositorios, algo fácil de listar revisando la cuenta del spammer o buscando en GitHub un par de frases del texto.

Como el spam parecía masivo y no dirigido (no era spear-phishing), inferí que el seguimiento de los perfiles contactados debía ser pobre o directamente inexistente. Así que el paso lógico fue hacernos pasar por una de las personas que ya habían sido contactadas. El elegido fue un desarrollador llamado Andy Jones.

Para replicarlo, creé una cuenta nueva que se pareciera mucho a su perfil real. Revisé los repositorios públicos de Andy y la información asociada para asegurar consistencia en las interacciones, reforzando la idea de que nuestro perfil era el de un desarrollador estadounidense real. La idea era volverlo más atractivo como candidato potencial para el reclutador.

En la primera reunión decidí mantener la cámara apagada para generar un poco de desconfianza “natural”. En cierto momento, la conversación derivó en una pregunta directa sobre mi aspecto físico: me preguntó explícitamente si yo era “un hombre negro”.

En una segunda llamada, que duró aproximadamente veinte minutos, el objetivo principal fue adoptar una postura ingenua, casi de novato, como alguien que no termina de entender el contexto ni las implicancias de la propuesta.

Esa actitud lo animó a dar más detalles. Cuanto más “inocentes” eran mis preguntas, más se explayaba él. Me habló brevemente de la situación con ICE, de mi estado de visa, y después pasó al punto que le importaba: me pidió acceso a mi laptop las 24 horas, para que él pudiera “trabajar en remoto desde ahí”.

Cinta V1 – Aaron pide una laptop remota

Hablamos un rato sobre qué necesitaba instalar en la laptop y enseguida explicó que iba a necesitar mi documento, nombre completo, estado de visa y dirección para postularse a entrevistas en mi nombre. Me dijo que yo iba a manejar las entrevistas técnicas con su ayuda, que él iba a ayudarme a armar el LinkedIn y el CV y a coordinar las reuniones. Me ofreció un 20% de la paga si yo actuaba como “frontman” y hacía las entrevistas, o un 10% si solo le prestaba mi información y mi laptop mientras él se encargaba de todo.

Cinta V2 – Aaron pide un documento para manejar entrevistas y negocia mi porcentaje

Después pasó a los métodos de pago, hablando de cuentas bancarias y plataformas como Payoneer o PayPal. También pidió mi Social Security Number (SSN, Número de Seguridad Social) para los chequeos de antecedentes, remarcando que tener un historial limpio era “muy crítico”. Me insistió en que no me preocupara por preparar la laptop, que él mismo iba a descargar todo lo que necesitara.

Cinta V3 – Aaron pide antecedentes penales y método de pago

El paso siguiente fue explicarme que iba a tener que verificar todas las cuentas con mis documentos en distintas plataformas para cumplir con el KYC (“Conoce a tu cliente”, rutinas de verificación). Luego me pidió que descargara AnyDesk, una herramienta popular de control remoto. Le comenté que tenía otra laptop disponible para que él “trabajara desde ahí”, y me pidió que desactive el fondo virtual de la cámara para ver mejor la máquina. Me negué, diciéndole que mi cuarto estaba desordenado.

Cinta V4 – Aaron me pide que descargue AnyDesk

Al poco tiempo ya estábamos hablando de cómo dejar todo listo para empezar a “trabajar” lo antes posible. Le dije que sentía haberlo hecho quedarse hasta tarde y él respondió que trabaja desde distintas zonas horarias, así que no tenía problema.

Terminamos acordando instalar AnyDesk para que él pudiera guiarme paso a paso.

Cinta V5 – Aaron habla sobre mi entorno de trabajo

Seguimos la conversación por Telegram y al día siguiente me dijo que iba a buscar puestos usando mi perfil de LinkedIn. Me compartió los sectores en los que estaba interesado: IT, fintech, e-commerce y prestadores de salud.

Más tarde ese mismo día hicimos una revisión final de los términos:

Yo me quedaría con el 20% del salario, íbamos a compartir acceso a Gmail, LinkedIn y cuentas bancarias, mi SSN y cualquier información necesaria para el chequeo de antecedentes. Para concluir, me pidió configurar “123qwe!#QWE” como contraseña de AnyDesk.

Hice un poco de tiempo mientras Mauro y ANY.RUN preparaban la granja de laptops, así que tuve que inventar una excusa para no avanzar demasiado rápido. En una reunión de seguimiento, Aaron me pidió que no desaparezca y que mantengamos el contacto por Telegram. Dijo que la comunicación era importante entre nosotros y que quería estar conectado conmigo las 24 horas.

Me pidió otra vez que deje la máquina encendida y accesible todo el día con la contraseña que él había definido para AnyDesk. Le dije que sí, y en tono de broma le pedí que no revisara mis fotos personales. Nos reímos, y me aseguró que no iba a hacer nada fuera de “su trabajo”.

Cinta V6 – Aaron pide disponibilidad 24/7 de la máquina

Después de eso, lo dejé conectarse a “mi laptop”.

Capítulo II: La granja

Cómo atrapamos a Famous Chollima. Por Mauro Eldritch (BCA LTD) y ANY.RUN.

Nunca tuvimos laptops de sobra para ellos. Era una mentira para ganarnos su confianza. En realidad nuestro plan siempre fue llevarlos a un entorno controlado, un sandbox, para poder monitorear en tiempo real cada uno de sus movimientos.

Nuestra elección obvia fue la plataforma de ANY.RUN, que ya habíamos usado para analizar los distintos malwares norcoreanos que mencionamos antes (QRLog, Docks, InvisibleFerret, BeaverTail, OtterCookie, ChaoticCapybara y PyLangGhostRAT). Pero teníamos una limitación: el sandbox no estaba diseñado para correr por más de media hora, tiempo suficiente para analizar malware, pero no para convencer a actores de amenazas estatales de que estaban usando una laptop real.

Aunque esto podía verse como un obstáculo, hablamos con ANY.RUN y acomodaron todo para darnos instancias con tiempo extendido. En un esfuerzo sin precedentes y en tiempo récord, nos ofrecieron una versión especial de sus sandboxes capaz de durar horas, con herramientas de desarrollo preinstaladas y un historial de uso realista que generaba la ilusión de una máquina activamente utilizada por un desarrollador de verdad.

Con eso bastaba para encerrar a los Chollimas y extraer toda la información posible: los archivos que abrían, descargaban o modificaban, su actividad de red (sus IPs y los servidores que contactaban), y cada clic que hacían. Todo quedaba transmitido y grabado en vivo para que pudiéramos verlo.

Era momento de abrir la granja y dejar que entraran al establo.

Capítulo III: Los vigilantes

Espiando a Famous Chollima. Por Mauro Eldritch (BCA LTD), Heiner García Pérez (NorthScan) y ANY.RUN.

Para este experimento instanciamos múltiples entornos controlados. Algunos tenían un Windows 10 normal con apps básicas y una configuración mínima, y otro tenía Windows 11 con un entorno de usuario preinstalado para hacerlo pasar por la laptop personal de un desarrollador.

Los entornos estaban conectados mediante un proxy residencial para dar la ilusión de estar ubicados dentro de Estados Unidos, ya que los actores de amenaza prefieren siempre candidatos basados en ese país.

Además de eso, podíamos ver su pantalla, red y actividad del sistema de archivos en tiempo real sin que ellos lo notaran, y teníamos control absoluto sobre las máquinas en cualquier momento. Esto nos permitía desconectarlos de Internet cuando queríamos, manteniendo su sesión de escritorio remoto activa (solo bloqueando la navegación), o incluso “romper” la máquina a voluntad con un pantallazo azul de la muerte, para evitar que intentaran cualquier actividad maliciosa contra terceros.

Dividimos estas grabaciones en “cintas” (tapes) para facilitar el análisis de su comportamiento.

Nota: Algunas cintas fueron editadas para eliminar períodos de inactividad.

Tape V7: La planificación

Preparamos la primera “laptop” (Windows 11) siguiendo las instrucciones que nos había dado el reclutador y configurando la contraseña que él mismo había elegido. Pocos minutos después, “Blaze” (Aaron, nuestro reclutador) se conecta por AnyDesk y empieza a revisar la máquina.

Lo primero que hace es ejecutar DxDiag (DirectX Diagnostic Tool) para obtener un informe completo del hardware. Como ya habíamos anticipado esta posibilidad, la máquina mostraba hardware y drivers estándar de fabricantes conocidos, imitando piezas reales que se encuentran en la mayoría de los setups domésticos y laptops comunes.

Después abre Google Chrome y entra a Gmail. Vuelve a DxDiag y recorre las distintas pestañas mirando la configuración del sistema, y luego establece Chrome como navegador predeterminado.

Finalmente abre Visual Studio, juega un poco con la interfaz y busca en Internet “where is my location” (sic). Google lo manda directo a una serie de CAPTCHAs y, mientras se entretiene seleccionando colectivos y escaleras, empezamos a monitorear su actividad de red. Vimos que estaba conectado desde una IP ubicada en el Reino Unido según OTX (y en Estados Unidos para la mayoría de los escáneres), perteneciente a Astrill VPN, una de las herramientas favoritas de los actores norcoreanos.

Entonces decidimos que era buen momento para hacer crashear la máquina.

Estos crashes eran intencionales, tanto para evitar que realizara actividades maliciosas como para retrasar su ritmo. El sistema quedaba inutilizado hasta que levantábamos AnyDesk de nuevo de forma manual y, después de cada “recuperación”, lo convencíamos de que era necesario usar Restaurar Sistema, revirtiendo cualquier progreso que hubiera logrado. Esta táctica nos ayudó a mantenerlo en el loop durante semanas.

Cinta V7 – Blaze inspeccionando la laptop falsa

Tape V8: Una nota para Andy

Después de ese “crash”, teníamos la excusa perfecta para moverlo a otra “laptop”, esta vez con Windows 10, borrando todo su avance anterior. Empieza el mismo baile: cambia el navegador predeterminado a Chrome y vuelve a buscar “where is my location”.

Google se pone quisquilloso y lo mete en un loop de CAPTCHAs que parece no terminar nunca, y que él soporta con bastante paciencia. Luego abre una consola y ejecuta el comando whoami (“quién soy”), que devuelve el usuario “admin”, y systeminfo (“información de sistema”), que devuelve información consistente sobre el hardware y el software del equipo.

Parece confiar en la máquina y abre una ventana del Bloc de notas, donde deja un mensaje para “Andy” (el alter ego de Heiner):

Hola, Andy?

¿Estás ahí?

Ya puedo entrar a tu laptop.

Pero me falta tu información, así que no voy a empezar a trabajar todavía.

Quiero que me des todos tus documentos e información hoy, así puedo empezar lo antes posible.

Y ahora, ¿podrías iniciar sesión en tu email y en LinkedIn acá en la laptop?

Lo dejamos esperando para probar su paciencia. No insistió demasiado y procedimos a hacer crashear también esta “laptop”, para que creyera que nunca llegamos a ver su mensaje y así demorarlo aún más.

Cada minuto que pasaba con nosotros era un minuto menos que podía usar para estafar a alguien más.

Cinta V8 – Blaze inspecciona la segunda laptop falsa y deja una nota

Tape V9: Contraseña incorrecta

Otro crash, otro salto a un punto de restauración antiguo del sistema que borra todo el progreso. Empezamos a ponerle un poco de presión, preguntándole qué había hecho para que el sistema se rompiera de forma irreparable, diciéndole que nos apareció un pantallazo azul con algo relacionado a la red, probablemente una mala configuración o algún uso extraño de una VPN de su lado.

No pudo responder de forma satisfactoria a ninguna de esas preguntas y volvió a intentar iniciar sesión en las cuentas. Le dimos información incompleta, atrapándolo en un bucle de logins y CAPTCHAs fallidos que duró casi una hora, mientras extraíamos indicadores de compromiso y patrones de comportamiento.

Cinta V9 – Blaze queda atrapado en un loop de logins y CAPTCHAs

Tape V10: Intruso

Esta vez no hubo ningún crash y, como gesto de buena voluntad, armamos un script BAT de autorecuperación para que la máquina se recupere sola si algo ocurría. Le pedimos a Blaze que fuera cuidadoso y le dimos una especie de ultimátum: que dejara de romper nuestras laptops y empezara a trabajar cuanto antes, o el trato se terminaba. Más presión.

Eso pareció tocarle un nervio, porque otra cuenta de AnyDesk con el nombre “Assassin”, desconocida para nosotros hasta ese momento, se conectó a la laptop. Fue directo a Gmail e intentó entrar en la cuenta de Andy, incluso marcó la casilla de “mostrar contraseña” para verificar las credenciales. Después de fallar varias veces, el propio Blaze volvió a conectarse remoto. Creemos que intentó delegar la tarea a otro afiliado que, de algún modo, era incluso menos hábil que él.

Acto seguido revisa la configuración del sistema y abre Chrome, buscando “Chrome Download”, como una persona mayor abriendo la app de Google para buscar “Google”.

Sin que él lo supiera, habíamos quitado el proxy residencial y conectado las máquinas a través de un servidor VPN alemán, así que su búsqueda en Google cayó otra vez en un infierno de CAPTCHAs, obligándolo a resolver al menos seis desafíos de opción múltiple antes de poder avanzar.

Cuando finalmente lo recibe la versión alemana de Google, nos pregunta qué pasó. Le decimos que, para evitar el pantallazo azul causado por “algo raro en la red”, estamos probando una VPN “a nivel router”. Se queja, diciendo que “no es lo ideal” y que “habría que arreglarlo”, pero igual decide seguir.

Busca “where is my location” y “where is my ip”, y después entra a LinkedIn… bueno, a la versión alemana de LinkedIn. Probó la cuenta y la dejó abierta ahí.

Cinta V10 – Blaze y Assassin obligados a navegar en alemán

Tape V11: Ingeniería Criminal

Esta vez sí. Blaze se conecta a la laptop e inicia sesión en su cuenta de Google, “Aaron S”, activando la función de sincronización y cargando su perfil, sus preferencias y todas sus extensiones en el navegador.

Eso nos da una primicia mundial sobre las herramientas de Famous Chollima, que incluye varias extensiones de IA como Simplify Copilot (para automatizar postulaciones a vacantes laborales), AiApply (para automatizar la búsqueda de empleo), Final Round AI (que ofrece respuestas para preguntas de entrevistas en tiempo real), Saved Prompts for GPT (para guardar prompts de LLMs), la extensión OTP.ee (o Authenticator.cc, un generador de OTP) y, por último pero no menos importante, Google Remote Desktop.

Después abre Google Remote Desktop. Con su cuenta mostrando ya dos hosts previos “AARON-PC” y “Blaze”, empieza a configurar esta laptop vía línea de comandos y PowerShell, poniendo “123456” como PIN de conexión. Mientras hace eso, revisa su bandeja de entrada.

Y sin ninguna duda entendimos que era el momento perfecto para un crash inesperado.

Lo expulsamos de la laptop y nos quedamos solos.

Con su cuenta de email abierta.

Cinta V11 – Blaze configurando la laptop para acceso remoto

Tape V12: Amigos por correspondencia

Blaze envió un mensaje por Telegram diciendo que “se había olvidado su cuenta de email abierta” y pidiendo por favor que la cerremos. Andy (Heiner) respondió que ya era tarde y que lo haría a la mañana siguiente.

Nos mantuvimos fuera de línea, revisando su correo para evitar que él pudiera cerrar la sesión de forma remota. Encontramos múltiples suscripciones a plataformas de búsqueda laboral, revisamos sus extensiones y encontramos distintos espacios de trabajo y chats de Slack.

Hablaba regularmente con una persona llamada Zeeshan Jamshed, quien en una conversación inicial dijo que iba a estar ausente por Eid, la festividad musulmana, y que “dejara todo listo para el lunes”, lo que sugiere que ya estaban trabajando juntos, posiblemente en una empresa ubicada en una región de mayoría musulmana.

A medida que avanzan las conversaciones, el tono se vuelve más amargo.

Primero, Zeeshan menciona cosas rutinarias como tener que unirse a una llamada en unos minutos o terminar otra reunión pronto, pero después parece quebrarse bajo la realidad que está viviendo.

De repente, Zeeshan estalla, diciendo que si quieren encontrar “trabajos reales de verdad” tienen que enfocarse en “empresas reales y entrevistas reales con personas reales”, y que él “ya hizo suficientes entrevistas como para saber que todas estas plataformas son solo una pérdida de tiempo”.

Cierra su desahogo hablando sobre “las mismas 3 preguntas que siguen y siguen haciéndote por el resto de tu vida”. Sea lo que sea que quiera decir con eso, parece ser algo que no lo deja dormir.

Cinta V12 – Revisando la correspondencia de Blaze

Tape V13: Desconexión

Le dijimos a Blaze que la laptop con Windows 11 estaba reparada y lista para usar. Él, encantado, se conectó otra vez y volvió a iniciar sesión en todas sus cuentas.

Si te engañamos una vez, la culpa es nuestra.

Ya si te engañamos dos veces… tal vez la culpa sea tuya por ser de Lazarus.

Después de configurar su cuenta nuevamente (y activar las opciones de sincronización que reinstalaban todas sus extensiones), siguió su ya conocido vals: buscar su ubicación (esta vez correctamente detectada en Texas, Estados Unidos), configurar Google Remote Desktop, revisar su correo (sin notar absolutamente nada raro después de nuestra inspección) y enfrentarse a problemas “irrecuperables” que, por supuesto, habíamos generado nosotros.

Tocamos la configuración del proxy residencial y, de repente, quedó sin conexión a internet, sin ninguna posibilidad de reconectarse. Entonces intentó diagnosticar el problema siguiendo los pasos clásicos: revisar la configuración del adaptador de red, tocar opciones de autenticación y hasta desactivar IPv4 por completo.

Ni por un segundo se detuvo a pensar por qué seguía conectado remotamente a un sistema completamente aislado sin tener ningún problema de acceso.

Intentó alcanzar el botón de “cerrar sesión” de Google, pero ya estaba fuera de línea.

Y sobre llovido, mojado...

¿Qué más podía pasar?

Por supuesto: un crash artificial.

Cinta V13 - Blaze vuelve a conectar sus cuentas en otra laptop

Tape V14: Realización

Blaze pidió explicaciones sobre los constantes fallos de la máquina e incluso se animó a subir el tono. Inventamos un par de excusas y le dimos acceso una última vez. Esta vez, desactivamos el proxy y dejamos que su mente (siempre un poco lenta para atar cabos) finalmente se sincronizara con la situación.

De golpe, le cayó la ficha. Y casi de inmediato, el tintineo de esa ficha se convirtió en desesperación: sabía lo que estaba pasando.

Abrió el Registro de Windows, dio unas vueltas y buscó su ubicación en línea, que ahora aparecía en Alemania. Corrió DxDiag una vez más, igual que cuando empezamos esta “colaboración”, y revisó la reputación de su IP en línea buscando términos como “ip fraud check” y visitando sitios como IP Score, Scamalytics y Where Am I.

Intentó enfrentarnos por Telegram, pero ya era demasiado tarde. Ya no tenía nada que nosotros quisiéramos, así que lo ignoramos.

La paranoia le ganó y volvió a ejecutar el comando systeminfo, jugó un rato más con DxDiag y luego… un último crash artificial, que terminó tanto con la instancia como con el pequeño plan de espionaje corporativo de nuestro amigo.

Cinta V14 – Blaze entiende la situación

Capítulo Extra: Celos

Sembrando discordia entre Famous Chollima. Por Heiner García Pérez (NorthScan)

Quizás recuerdes que en la Cinta 4 “Intruso” alguien más accedió a una de nuestras laptops: uno de los colaboradores de Blaze, bajo el apodo de “Assassin”. Ambos tuvieron problemas para iniciar sesión en la cuenta y terminaron perdiendo tiempo en un infierno de CAPTCHAs.

Para ese momento ya le habíamos dado a Blaze un ultimátum: que empezara a trabajar de inmediato y dejara de romper cosas. Pero esa es solo una parte de la historia…

Para meterle más presión, a Heiner se le ocurrió fingir que otro reclutador de la RPDC, llamado “Ralph”, lo estaba tentando con una oferta mejor. Le escribió a Blaze para avisarle que tuviera cuidado, porque ya teníamos otra oferta mejor: alguien dispuesto a darnos un porcentaje más alto del sueldo y que encima parecía realmente entusiasmado por trabajar con nosotros, sin darnos tantos problemas.

Blaze no lo tomó nada bien. Le pidió a Heiner que no trabajara con él y sugirió que “él” (Ralph) podría ser quien había “bloqueado” su perfil o cambiado su contraseña, en referencia a la cuenta a la que no habían logrado acceder antes.

Después pasó directamente a insultar a Ralph, diciendo que era “raro”, explicando que podría afectar “su trabajo” y que no quería correr ese riesgo. En cambio, dijo que asignaría a alguien de su propio equipo para que se encargara de que las cosas avanzaran.

Prometió poner las cosas en orden y hacer que todo funcionara, afirmando que después de eso ya no necesitaríamos AnyDesk (aludiendo a que más adelante instalaría Google Remote Desktop). Cuando Heiner le preguntó si entonces debía ignorar al otro reclutador, Blaze insistió en que trabajara exclusivamente con él a partir de ese momento.

Luego contó que uno de los miembros de su equipo iba a intentar trabajar con su laptop más tarde ese mismo día. Ese era “Assassin”, quien aparece en la Cinta 4 detrás de la misma dirección IP que Blaze, perteneciente a AstrillVPN.

Esa decisión apresurada de su parte nos ayudó a confirmar que compartían infraestructura y recursos, y que probablemente tenían una comunicación interna bastante pobre, ya que la idea de que un reclutador le “robara” un ingeniero a otro les resultaba totalmente plausible.

Además, cuando hacen entrevistas técnicas en las empresas objetivo, es común ver a varios operadores norcoreanos agendando llamadas para el mismo puesto el mismo día (lo que los vuelve más evidentes), lo que sugiere una falta de coordinación entre distintas células.

Epílogo

Hasta la próxima, Famous Chollima.

Esto no va a ser la última vez que veamos a Famous Chollima o a otros operadores norcoreanos intentando colarse en procesos de contratación para obtener acceso, hacer espionaje corporativo y generar fondos para el régimen.

El objetivo de esta investigación fue obtener inteligencia de actores norcoreanos de una forma distinta a lo habitual, algo que ningún otro equipo había intentado hasta ahora. Lo hicimos interactuando con ellos directamente y metiéndonos en su flujo de trabajo. Desde ese enfoque, creemos que esta publicación ayuda a entender mejor la amenaza, su estructura, su comportamiento y sus tácticas, técnicas y procedimientos, además de dejar en claro que su operación depende cada vez más de herramientas de IA.

Si sos empleador, aplicá controles rigurosos de identidad y verificación de antecedentes al contratar. Entrená a tus equipos de reclutamiento para detectar señales de alerta y no dudes en compartirles esta historia a tus candidatos para que entiendan que esa “empresa de software” que les ofreció algo demasiado bueno para ser real quizá no sea legítima. Siempre duda de todo.

Si estás buscando trabajo, tené cuidado con cualquier ejercicio técnico que te compartan, nunca hagas entrevistas usando equipos de tu empresa y confirmá con las compañías si la persona que te contacta realmente trabaja ahí.

Lo mismo para quienes buscan inversión: cuidado con las reuniones con VCs falsos, no abras adjuntos sin analizarlos primero y recordá que si algo suena demasiado bueno para ser real, probablemente lo sea. Siempre es una buena idea confirmar con los fondos o entidades dispuestas a financiar compañías si el VC que te contactó está vinculado a ellos.

Si sos profesional de seguridad, no dudes en enfrentar estas amenazas ni en pedir ayuda a la comunidad. Compartí esta información dentro de tu organización y mantené el tema visible. Cuanta más gente sepa qué buscar, más difícil les resultará operar.

Y para el resto de nuestros lectores, no se olviden de sonreír.

Esta Edición Especial ha llegado a su fin. Si te quedaste con ganas de más, podés leer el artículo original de ANYRUN (en inglés), o la saga “Interview with the Chollima” (Entrevista con el Chollima) del Equipo Quetzal de Bitso, donde contamos casos similares.

Quiero expresar mi infinito agradecimiento a nuestros amigos de ANY RUN y NorthScan, sin ellos esta investigación no habría podido llevarse a cabo.

Que sea la primera de muchas cacerías juntos 🤠.