La estrategia que financia a Corea del Norte: entre el 3% y 6% de su PIB proviene del cibercrimen
Imagen: Zdzisław Beksiński
Corea del Norte, bajo un régimen de sanciones económicas estrictas impuestas desde 2006 por Estados Unidos, las Naciones Unidas y sus aliados debido a su programa nuclear y de misiles balísticos, ha recurrido a métodos innovadores para financiar sus actividades. Las restricciones han limitado severamente el comercio internacional, las exportaciones (como el carbón, que en 2015 representaba el 34% de sus ventas al exterior) y el acceso a divisas extranjeras, forzando al país a explorar fuentes alternativas de ingresos. Entre estas, los ciberataques perpetrados por grupos patrocinados por el estado, como el Grupo Lazarus, y el “ciber ejército” operado por la Oficina General de Reconocimiento se han convertido en herramientas esenciales para generar fondos que sostienen el régimen y su programa armamentístico.
Un informe de las Naciones Unidas publicado en 2019 estimó que los atacantes cibernéticos norcoreanos, muchos bajo la dirección de la Oficina General de Reconocimiento, han acumulado aproximadamente 2,000 millones de dólares mediante ciberataques dirigidos a instituciones financieras y plataformas de intercambio de criptomonedas.
Estos ataques abarcan robos significativos, como el intento de 2016 de sustraer 1,000 millones de dólares de la Reserva Federal de Nueva York, del cual lograron obtener 81 millones, y asaltos a plataformas de criptomonedas, que son atractivas por su menor regulación y la dificultad para rastrearlas.
Un exdirectivo de inteligencia británica, citado por The New York Times, sugirió que los “ciberatracos” podrían generar hasta 1,000 millones de dólares anuales, una cifra que equivaldría a cerca de un tercio de las exportaciones totales de Corea del Norte, estimadas en 3,000 millones de dólares en 2015. Estos ingresos ilícitos se han convertido en una fuente crucial para el régimen, especialmente en un contexto de restricciones económicas severas.
Calcular el Producto Interno Bruto (PIB) de Corea del Norte es un desafío debido a la opacidad de sus datos económicos. Según estimaciones del Banco de Corea del Sur, en 2015 el PIB del país ascendió a unos 16,200 millones de dólares, con un ingreso per cápita de aproximadamente 1,700 dólares. Si consideramos los 1,000 millones de dólares anuales estimados por actividades cibernéticas, esto representaría alrededor del 6.2% del PIB de 2015. No obstante, el informe de la ONU indica que los 2,000 millones de dólares acumulados hasta 2019 se generaron a lo largo de varios años, lo que sugiere un rango más conservador de entre 3% y 6% del PIB anual, dependiendo de las fluctuaciones económicas y la efectividad de los ciberataques.
El gasto militar, que incluye las operaciones del “ciber ejército” compuesto por entre 6,000 y 6,700 agentes, absorbe hasta el 25% del PIB, según estimaciones. Aunque no todo este gasto está relacionado directamente con actividades cibernéticas, el programa de ciberataques es un componente integral, destacando la importancia de estos ingresos para sostener el presupuesto militar del país.
Además de los ciberataques, Corea del Norte genera ingresos a través de actividades ilícitas como la venta de armas, transferencias clandestinas de carga entre barcos y la operación de empresas en el extranjero, con presencia en países como Rusia, Uganda y Malasia. Estas actividades complementan los ingresos obtenidos por medios cibernéticos, aunque no existen estimaciones precisas sobre su contribución al PIB, lo que dificulta una evaluación completa de su impacto económico.
Las sanciones internacionales han golpeado sectores clave de la economía norcoreana, como la exportación de carbón, prohibida por China en 2017, y el comercio de petróleo, restringiendo el acceso a divisas esenciales. En respuesta, el régimen ha intensificado su dependencia de los ciberataques, descritos como una “espada multiusos” para financiar tanto el gobierno como su programa armamentístico. El uso de tecnologías avanzadas, incluyendo identidades falsas, herramientas de inteligencia artificial generativa como ChatGPT y redes de proxies, permite a los actores norcoreanos infiltrarse en organizaciones globales, evadiendo las restricciones económicas y generando ingresos significativos.
Las estimaciones sobre los ingresos generados por ciberataques se basan en informes de inteligencia y no en datos oficiales de Corea del Norte, ya que el país no publica estadísticas económicas detalladas. El PIB norcoreano varía según la fuente, con estimaciones que oscilan entre 15,000 y 40,000 millones de dólares, lo que complica la determinación de un porcentaje exacto. Además, la falta de transparencia dificulta discernir cuánto de los ingresos cibernéticos se destina directamente al gobierno y cuánto se utiliza para financiar las operaciones del “ciber ejército”.
Dentro de este contexto, la organización criminal norcoreana conocida como Grupo Lazarus ha perfeccionado sus técnicas para distribuir payloads maliciosos como BeaverTail, InvisibleFerret y el reciente OtterCookie, mediante tres métodos principales diseñados para eludir herramientas de detección tradicionales.
- Técnica 1: Uso de la Función Eval: Los desarrolladores de Lazarus implementaron un fragmento de código que realiza una solicitud POST a un dominio externo (fashdefi[.]store, puerto 6168). La respuesta se almacena en un objeto token y se ejecuta mediante la función eval(). Este método evita que el payload principal, como InvisibleFerret, esté incrustado directamente en el código fuente, dificultando su detección por escaneos estáticos.
- Técnica 2: Fragmentación de URLs y Token Falso: Los atacantes dividieron las URLs en múltiples partes dentro del código, utilizando servicios legítimos como Vercel.App como servidores de comando y control (C2) para entregar un favicon malicioso. Este favicon se reutilizó en varios proyectos vinculados a Lazarus. La solicitud incluye un token falso (“bearrtoken: logo”), y si se omite, el servidor entrega el favicon, permitiendo a los atacantes evadir herramientas de análisis automatizadas.
- Técnica 3: Bloques Try/Catch Avanzados: El tercer método combina elementos de los anteriores, utilizando la biblioteca axios para solicitudes GET y fragmentación de URLs. En lugar de depender de eval(), los atacantes diseñaron un bloque try/catch que simula un error 500 en la comunicación con la API, recibiendo el código malicioso a través de una función errorHandler(). Esta innovación reduce aún más las huellas detectables en el código, demostrando un enfoque sofisticado para evadir sistemas de seguridad.
Estas técnicas podrían estar impulsadas por el uso intensivo de inteligencia artificial para automatizar la creación de código, dado el rápido desarrollo de innovaciones y la presencia de errores sintácticos sin corregir. Esto plantea desafíos significativos para los sistemas de detección basados en patrones estáticos.
Los operativos crean “identidades paralelas”, gestionando múltiples perfiles en un solo dispositivo con detalles profesionales ligeramente distintos. Estos perfiles se respaldan con “kits de personalidad” para mantener la coherencia en las interacciones. Herramientas de IA generativa, como ChatGPT, se utilizan para generar respuestas convincentes en entrevistas técnicas, simular diálogos naturales y modificar imágenes de perfil para aumentar su autenticidad. URLs específicas de Google Translate adaptadas para la RPDC confirman el uso extensivo de estas tecnologías.
Para ocultar su ubicación, los atacantes emplean VPNs como Astrill, proxies personalizados y herramientas propias como NetKey y oConnect. El acceso remoto se facilita mediante software de cámaras virtuales (OBS, ManyCam), herramientas como AnyDesk y VMware Workstation, y dispositivos IP-KVM como PiKVM para controlar hardware empresarial. La coordinación interna se realiza a través de IP Messenger y Classroom Spy Pro. Las transacciones financieras dependen de criptomonedas y plataformas de pago en línea, respaldadas por redes logísticas globales que incluyen granjas de laptops en países como Polonia, Nigeria, China, Rusia, Japón y Vietnam.
La combinación de técnicas avanzadas de entrega de malware y estrategias de infiltración basadas en identidades falsas refleja la creciente sofisticación de los actores norcoreanos. La dependencia en inteligencia artificial para automatizar ataques y la explotación de entornos de trabajo remoto representan desafíos significativos para las organizaciones globales.
En los próximos meses, estas campañas podrían volverse aún más complejas, exigiendo una mejora constante en las reglas de detección y una vigilancia proactiva para contrarrestar estas amenazas en un entorno digital cada vez más adverso.
Para más información, visite: https://www.silikn.com/