Hackers norcoreanos captados en vídeo utilizando filtros de IA en entrevistas de trabajo falsas

Agentes patrocinados por el Estado norcoreano del grupo APT Famous Chollima están utilizando deepfakes de IA en tiempo real para solicitar puestos de ingeniería de software en empresas de criptomonedas y Web3.

La nueva campaña consiste en que estos agentes roban identidades y currículos legítimos de ingenieros, para luego usar filtros faciales con inteligencia artificial durante entrevistas por video y ocultar su verdadera apariencia mientras suplantan la identidad de sus víctimas. Su objetivo es infiltrarse en empresas occidentales para realizar espionaje corporativo y obtener fondos, una táctica bastante común en los últimos años.

Los analistas de inteligencia de amenazas del equipo Quetzal identificaron dos intentos consecutivos de infiltración por parte de trabajadores informáticos norcoreanos del grupo APT Famous Chollima, quienes solicitaban puestos de ingeniero de software senior en una empresa de criptomonedas.

Famous Chollima es una división del grupo Lazarus que se especializa en conseguir empleos en empresas occidentales, principalmente en puestos de ingeniería de software en los sectores de criptomonedas, Web3 y tecnología financiera, aunque informes recientes muestran que se han expandido a la ingeniería civil y la arquitectura.

Los ciberdelincuentes, utilizando las identidades robadas de ingenieros mexicanos llamados Mateo y Alfredo, participaron en entrevistas por vídeo con filtros faciales de IA en tiempo real que intentaban reconstruir su apariencia, pero muchos detalles no coincidían del todo.

Durante las entrevistas, la tecnología deepfake mostró claros signos de fallo. El rostro del primer candidato aparecía muy filtrado, con la boca cerrada mientras hablaba y sin que sus dientes se movieran al compás de los labios.

El segundo agente empleó un filtrado más sutil, pero mostró nerviosismo, balanceándose constantemente hacia adelante y hacia atrás mientras gesticulaba exageradamente con las cejas. Ambos afirmaron haber estudiado ingeniería en universidades mexicanas y residir en Jalisco y Chihuahua, respectivamente; sin embargo, ninguno habló una sola palabra de español al ser interrogado.

Sus perfiles de LinkedIn desaparecieron inmediatamente después de que terminaran las entrevistas, un patrón consistente con intentos de infiltración de Chollima anteriores documentados por el Equipo Quetzal.

La investigación reveló que ambos agentes se conectaron a través de Astrill VPN , un servicio comúnmente utilizado por usuarios chinos para eludir el Gran Cortafuegos y cada vez más favorecido por los trabajadores informáticos de la RPDC para actividades fraudulentas.

Sus conexiones se realizaban a través de direcciones IP europeas antes de llegar a direcciones IP residenciales en Estados Unidos, pertenecientes a granjas de portátiles a las que se accedía mediante herramientas de escritorio remoto. Los agentes intentaban ocultar su origen norcoreano haciéndose pasar por candidatos residentes en Estados Unidos con conexiones residenciales.

El último intento de hackers norcoreanos por ocultar su identidad al buscar empleo en empresas occidentales pone de manifiesto la importancia de que las organizaciones que contratan personal a distancia apliquen rigurosos controles de antecedentes y colaboren estrechamente con sus equipos de cumplimiento normativo. Esto puede incluir la verificación de los documentos nacionales de identidad y, cuando sea legal, la grabación de las entrevistas para confirmar la autenticidad de los candidatos.

De lo contrario, las consecuencias pueden ser graves. En julio, una mujer de Arizona fue condenada a ocho años y medio de prisión por ayudar a piratas informáticos norcoreanos a perpetrar un fraude laboral informático de 17 millones de dólares que afectó a más de 300 empresas estadounidenses. Un informe de mayo de 2025 también reveló que los piratas informáticos norcoreanos ya habían robado más de 88 millones de dólares suplantando la identidad de profesionales informáticos estadounidenses mediante el uso de identidades falsas.