El Departamento del Tesoro de Estados Unidos, a través de la Oficina de Control de Activos Extranjeros (OFAC), ha impuesto sanciones a seis personas y dos entidades vinculadas a una sofisticada red de trabajadores TI norcoreanos. Según las autoridades estadounidenses, esta estructura fraudulenta utiliza identidades falsas para acceder a empleos remotos en empresas de EE. UU. y otros países, desviando de forma encubierta los ingresos hacia el régimen de Corea del Norte para financiar programas de armas de destrucción masiva (ADM).
Cómo operan las redes Jasper Sleet / Coral Sleet en empresas de todo el mundo
Las investigaciones apuntan a una arquitectura delictiva multinivel, identificada en distintas fuentes como Coral Sleet, Jasper Sleet, PurpleDelta y Wagemole. El objetivo principal es conseguir que desarrolladores, administradores de sistemas y analistas norcoreanos sean contratados como empleados remotos aparentemente legítimos, aprovechando el auge del teletrabajo y la externalización de servicios TI.
Para ello, los operadores emplean documentación falsificada, identidades robadas y “personas digitales” inventadas, a menudo construidas sobre perfiles reales de profesionales occidentales. Una vez incorporados, estos “empleados” obtienen acceso a infraestructura corporativa, repositorios de código, sistemas de CRM o plataformas como Salesforce. Buena parte de los salarios y pagos por proyectos se canalizan de forma clandestina hacia Corea del Norte, eludiendo sanciones internacionales y contribuyendo, según la ONU y varios informes gubernamentales, a financiar programas de misiles y capacidades nucleares norcoreanas.
En muchos casos, el fraude no se limita al desvío de ingresos. Informes de empresas de ciberseguridad describen incidentes en los que los operadores introducen malware para robar secretos comerciales, propiedad intelectual y datos personales. Posteriormente recurren al chantaje y la extorsión, exigiendo pagos a cambio de no divulgar la información robada, combinando así el modelo de “trabajador infiltrado” con tácticas típicas de ransomware y espionaje industrial.
Uso de VPN y territorio chino para ocultar el origen norcoreano
Infraestructura, geolocalización y evasión de controles de acceso
Un estudio de LevelBlue y otras firmas destaca que un gran número de estos trabajadores TI operan físicamente desde China, y no directamente desde Corea del Norte. La razón es doble: acceso a una infraestructura de internet más estable y posibilidad de usar servicios VPN avanzados para ocultar la geolocalización real. Entre las herramientas preferidas se menciona Astrill VPN, conocida por su capacidad de sortear el Gran Cortafuegos chino y ofrecer salidas de tráfico desde nodos estadounidenses o europeos.
Este enfoque permite que las conexiones parezcan originarse desde EE. UU. u otros países occidentales, reduciendo la sospecha de los departamentos de TI. Subgrupos vinculados a Lazarus Group —una de las amenazas persistentes avanzadas (APT) más activas atribuidas a Corea del Norte— aprovechan este tipo de infraestructura para gestionar servidores de mando y control, mantener un acceso continuo a internet global y enmascarar el rastro de sus operaciones.
LevelBlue documentó un caso ilustrativo: un supuesto especialista remoto en Salesforce fue contratado tras responder a una oferta de empleo, pero en apenas diez días su cuenta fue revocada al detectarse inicios de sesión recurrentes desde direcciones IP situadas en China, incoherentes con la ubicación declarada en su currículum. Este tipo de análisis de logs es una de las pocas defensas efectivas cuando el atacante ya ha superado los filtros de recursos humanos.
Inteligencia artificial como multiplicador de ciberamenazas norcoreanas
Creación de identidades digitales creíbles y documentación falsa
Empresas como Microsoft, Flare e IBM X-Force señalan que estas redes de trabajadores TI norcoreanos están explotando inteligencia artificial (IA) en prácticamente todas las fases del ciclo de la operación. Los atacantes utilizan modelos de lenguaje y herramientas de IA generativa para crear perfiles profesionales muy convincentes, CV y cartas de motivación adaptadas a cada mercado laboral, idioma y sector.
Para reforzar la credibilidad, recurren a aplicaciones como Faceswap y tecnologías similares: combinan rostros de operativos norcoreanos con documentos robados y generan fotografías “profesionales” para redes sociales y plataformas de empleo. De esta forma, las identidades falsas superan cada vez con mayor facilidad revisiones superficiales de LinkedIn, GitHub o portales de recruiting.
Automatización de ataques y abuso de modelos de lenguaje
Los operadores también emplean herramientas de IA “agente”, capaces de ejecutar cadenas de tareas semiautónomas: generación y refactorización de código —incluido código malicioso—, creación de páginas web falsas de empresas, portales de soporte técnico simulados y publicaciones de ofertas de trabajo fraudulentas. Diversos equipos de respuesta han documentado intentos de jailbreak sobre grandes modelos de lenguaje, buscando eludir sus restricciones para obtener ayuda directa en la construcción de malware o scripts para movimiento lateral y exfiltración de datos.
Internamente, estas redes se organizan de forma empresarial: reclutadores que identifican vacantes y objetivos, facilitadores que proporcionan acceso a cuentas bancarias y sistemas de pago, operadores TI que realizan el trabajo técnico y gestionan el acceso a datos, y colaboradores occidentales —a veces inconscientes del riesgo— que prestan sus identidades o cuentas para sortear controles de verificación de clientes (KYC). Para coordinarse utilizan canales sencillos pero eficaces: hojas de cálculo compartidas para hacer seguimiento de candidaturas, herramientas ligeras de mensajería como IP Messenger (IPMsg) y servicios de traducción como Google Translate para interactuar con empleadores y plataformas como ChatGPT.
El hecho de que estos actores busquen accesos de larga duración y basados en la confianza convierte estos incidentes en escenarios claros de riesgo insider, aunque el “insider” sea un falso empleado remoto. Para mitigar este tipo de amenazas, los expertos recomiendan fortalecer los procesos de verificación de personal externo y teletrabajadores, aplicar autenticación multifactor en todos los accesos, limitar estrictamente los privilegios mediante el principio de mínimo privilegio, monitorizar el uso de VPN y patrones de geolocalización atípicos, e invertir en formación continua del personal en higiene digital y detección de señales de fraude laboral. Adoptar una postura de “confianza cero” y revisar periódicamente los accesos de usuarios de alto riesgo reduce de manera significativa la probabilidad de que redes como Jasper Sleet logren infiltrarse o permanezcan ocultas durante largos periodos.
