El 15 de julio de 2024, a las 01:55 UTC (9:55 PM hora oriental), los sistemas de monitoreo KnowBe4 en Clearwater, Florida, registraron una alerta de seguridad crítica.La alerta señalaba actividad anómala en una estación de trabajo recién provista asignada a un ingeniero de software principal recientemente contratado.El individuo había eliminado con éxito cuatro entrevistas de video, verificaciones de referencia y una investigación de antecedentes antes de este incidente, que ocurrió aproximadamente 25 minutos después de su turno inaugural.

La actividad observada involucró la instalación de malware, entregado a través de un Raspberry Pi conectado a la misma red que la estación de trabajo.Las investigaciones revelaron que el perfil del ingeniero utilizó una imagen de stock modificada por inteligencia artificial y una identidad fabricada de un ciudadano estadounidense real.Las evaluaciones de inteligencia indican que la ubicación física del operador está dentro de la República Popular Democrática de Corea o el noreste de China, operando bajo el ámbito del Departamento 53 de la RPDC.

El centro de operaciones de seguridad de KnowBe4 inició el contacto con el usuario con respecto a la actividad anómala, recibiendo una respuesta que la atribuía a la resolución de problemas del router. Una solicitud posterior de una llamada en vivo fue rechazada, seguida de una total falta de respuesta. A las 02:20 UTC (10:20 PM hora oriental), la estación de trabajo fue contenida con éxito, impidiendo un mayor acceso. El malware fue identificado como un infostealer dirigido a los datos de credenciales restantes de la provisión del sistema anterior.

RECOMENDACIÓN: Dado que el operador puede evitar controles extensos previos al empleo y tiene la intención confirmada de extraer datos confidenciales, es primordial mejorar continuamente los procesos de verificación de identidad centrados en los recursos humanos.La amenaza persistente que plantean los actores patrocinados por el estado que emplean técnicas sofisticadas de fabricación de identidad y acceso remoto requiere un cambio hacia una seguridad de identidad dinámica y multifactor a lo largo del ciclo de vida del empleo, que va más allá de la incorporación inicial.