Plausible Denial
Países / North Korea (DPRK)

RGB Bureau 121

Bureau 121

El principal brazo ciberoperativo de la Oficina General de Reconocimiento (RGB) de Corea del Norte — la fuente institucional públicamente atestiguada de una parte sustancial de la huella ciberoperativa atribuida a Corea del Norte que la industria de inteligencia de amenazas rastrea de forma amplia bajo el paraguas del Lazarus Group. Opera desde bases avanzadas dentro de China para sortear la conectividad limitada de la infraestructura de red doméstica de la RPDC.

0:00 / 0:00

Lectura en audio de este perfil.

Resumen

Bureau 121 (también Office 121, Unit 121, y la Cyber Warfare Guidance Unit en algunas fuentes derivadas de desertores) es el principal brazo ciberoperativo de la Oficina General de Reconocimiento (RGB) de Corea del Norte — Reconnaissance General Bureau — la fuente institucional públicamente atestiguada de una parte sustancial de la actividad ciberoperativa atribuida a Corea del Norte en el registro público. La misión de la unidad abarca todo el rango operativo del ciberespacio estatal: recopilación de inteligencia extranjera, operaciones ciberdestructivas contra objetivos geopolíticos y — de forma distintiva, en el registro público del ciberespacio estatal — actividad sostenida de delitos financieros en apoyo del programa más amplio de evasión de sanciones internacionales de la RPDC.1

La estructura institucional de la capacidad ciberoperativa de Corea del Norte es públicamente menos nítida que la de los servicios equivalentes de Estados Unidos, el Reino Unido, Rusia o China. Bureau 121 es nombrado en sucesivos testimonios de desertores y en declaraciones posteriores de atribución de los gobiernos de Estados Unidos, Corea del Sur y Japón; junto con Bureau 121, la arquitectura ciberoperativa públicamente atestiguada de la RPDC incluye Lab 110 (tratado a veces como un subelemento de Bureau 121, a veces como una unidad paralela), Office 91, y Bureau 180 (encargado específicamente de operaciones de delitos financieros). La relación entre estas unidades — y la cuestión de si el clúster que la industria de inteligencia de amenazas rastrea como Lazarus Group corresponde a una de estas unidades, a un subconjunto, o al producto combinado de todas ellas — es objeto de disputa en la literatura secundaria. Véase la entrada del Lazarus Group para la discusión sobre la imprecisión institucional.2

Historia y orígenes

Bureau 121 fue consolidado institucionalmente aproximadamente en 1998, sobre la base de la capacidad previa de inteligencia de señales y guerra electrónica de la RPDC bajo el Departamento del Estado Mayor General del Ejército Popular de Corea. El establecimiento de la unidad ha sido datado de forma variable por los relatos de desertores y por las evaluaciones públicas del Servicio Nacional de Inteligencia de Corea del Sur; la cifra de 1998 es la más comúnmente citada en la literatura secundaria. La transferencia de la unidad a la Oficina General de Reconocimiento tras el establecimiento del RGB en 2009 — en sí misma una consolidación de múltiples servicios de inteligencia previos de la RPDC — situó a Bureau 121 bajo el mando unificado contemporáneo de inteligencia militar de la RPDC.3

La huella operativa públicamente atestiguada comienza a mediados de la década de 2000 y se expande sustancialmente a lo largo del periodo posterior a 2009, en consonancia con la consolidación institucional más amplia de la era RGB. La inversión de la RPDC en capacidad cibernética estuvo sustancialmente impulsada por el marco doctrinal de guerra asimétrica: un Estado con una posición militar y económica convencional limitada frente a Corea del Sur, Japón y Estados Unidos podía, no obstante, imponer costos sustanciales a esos adversarios mediante operaciones cibernéticas dirigidas y podía adquirir ingresos ilícitos sustanciales mediante delitos financieros facilitados por ciberataques — ambos a un costo por operación sustancialmente inferior al de los instrumentos militares o económicos convencionales.4

Huella operativa (documentada)

La huella operativa documentada de Bureau 121 está sustancialmente subsumida dentro del paraguas más amplio del Lazarus Group — véase la entrada del Lazarus Group para el registro de historia operativa. Las principales operaciones atribuidas por los gobiernos de Estados Unidos, Corea del Sur, Japón y el Reino Unido específicamente a Bureau 121 (en lugar de al aparato cibernético más amplio del RGB) incluyen:

La intrusión de 2014 en Sony Pictures Entertainment. La intrusión de noviembre de 2014 en la red corporativa de Sony Pictures Entertainment, llevada a cabo en represalia por la próxima película del estudio The Interview — una comedia que representaba el asesinato del líder de la RPDC Kim Jong-un. Los operadores (usando la identidad Guardians of Peace) exfiltraron aproximadamente 200 GB de material interno de Sony, realizaron un borrado destructivo de aproximadamente la mitad de los sistemas corporativos de la compañía, y publicaron embarazosas comunicaciones internas de Sony entre noviembre y diciembre de 2014. La atribución de diciembre de 2014 del Federal Bureau of Investigation a Corea del Norte fue la primera atribución pública del Gobierno de Estados Unidos de una operación ciberestatal contra una empresa privada estadounidense.5

El brote de ransomware WannaCry de 2017. El brote global de ransomware del 12 de mayo de 2017 — usando el exploit filtrado de la NSA EternalBlue para el movimiento lateral, y afectando aproximadamente a 200.000 sistemas en 150 países, incluido el Servicio Nacional de Salud del Reino Unido (que sufrió aproximadamente £92 millones en daños y la cancelación de aproximadamente 19.000 citas médicas), el operador de telecomunicaciones español Telefónica, el fabricante de automóviles francés Renault, y una población sustancial de víctimas adicionales. La atribución de los gobiernos de Estados Unidos y el Reino Unido a Corea del Norte, específicamente a elementos cibernéticos del RGB ampliamente consistentes con Bureau 121, fue anunciada en diciembre de 2017.6

Operaciones sostenidas de delitos financieros. Las operaciones cibernéticas atribuidas a Bureau 121 / RGB contra infraestructura internacional de servicios financieros han generado aproximadamente varios miles de millones de dólares estadounidenses en ingresos ilícitos a lo largo del periodo posterior a 2015, principalmente mediante intrusiones en el sistema SWIFT de bancos centrales y comerciales (el robo de aproximadamente 81 millones de dólares al Bangladesh Bank en 2016 es el caso canónico documentado) y mediante intrusiones en exchanges de criptomonedas (el robo de aproximadamente 625 millones de dólares a Ronin Network en 2022 es el caso canónico de robo de exchange de cripto a gran escala). El flujo de ingresos ilícitos financia sustancialmente el programa de desarrollo de armamento de la RPDC, según los sucesivos informes anuales del Panel de Expertos del Consejo de Seguridad de las Naciones Unidas.7

Operaciones de espionaje contra objetivos surcoreanos, japoneses y estadounidenses. Recopilación sostenida contra objetivos de la industria de defensa, gubernamentales y académicos en Estados Unidos, Corea del Sur y Japón a lo largo del periodo posterior a 2010 — sustancialmente enfocada en investigación relacionada con el desarrollo de misiles y armamento nuclear, programas de monitoreo de sanciones, y las comunidades de políticas y académicas que trabajan sobre cuestiones relacionadas con la RPDC en esos Estados.8

Atribución

El Departamento de Justicia de Estados Unidos ha procesado a personal afiliado a Bureau 121 en tres casos separados: la acusación formal de septiembre de 2018 contra Park Jin-Hyok por la intrusión de Sony Pictures, el brote de WannaCry, y el robo al Bangladesh Bank; la acusación formal de febrero de 2021 contra Park Jin-Hyok, Jon Chang Hyok, y Kim Il por delitos financieros adicionales y operaciones ciberdestructivas a lo largo del periodo 2014–2020; y la acusación formal de julio de 2024 contra Rim Jong Hyok por operaciones de ransomware contra hospitales e infraestructura sanitaria de Estados Unidos. La atribución institucional en las tres acusaciones formales es a "la Oficina General de Reconocimiento, una agencia de inteligencia militar del Gobierno de la República Popular Democrática de Corea". Las acusaciones formales del DOJ son las atribuciones públicas más autoritativas del Gobierno de Estados Unidos sobre personal nombrado de Bureau 121 / RGB.9

La atribución de WannaCry de diciembre de 2017 por el National Cyber Security Centre del Reino Unido, las designaciones de sanciones de septiembre de 2019 del Departamento del Tesoro de Estados Unidos contra las subunidades cibernéticas del RGB Lazarus Group, Bluenoroff, y Andariel, y los sucesivos informes del Panel de Expertos del Consejo de Seguridad de las Naciones Unidas sobre la evasión de sanciones de la RPDC, establecen colectivamente la posición institucional de las operaciones cibernéticas de Bureau 121 / RGB como un actor de amenazas públicamente nombrado en la arquitectura de atribución de las Naciones Unidas, Estados Unidos, el Reino Unido, la UE y los Cinco Ojos.10

Véase también

  • Reconnaissance General Bureau — servicio matriz
  • Lazarus Group — el rastreo canónico de la industria de inteligencia de amenazas del aparato cibernético más amplio de la RPDC, del cual Bureau 121 es un elemento públicamente atestiguado
  • NSA TAO — origen del exploit EternalBlue weaponizado en el brote de WannaCry
  • NotPetya — la operación de la Unit 74455 del GRU que weaponizó EternalBlue seis semanas después de WannaCry
  • Designación APT — el contexto de las convenciones de nomenclatura

Fuentes y lecturas adicionales

  1. Insikt Group (Recorded Future), North Korea's Cyber Operations research stream; Mandiant North Korea threat-actor profiles (multiple-year update); United States Treasury sanctions designations (September 2019).
  2. Joel Brenner, America the Vulnerable (Penguin, 2011), Chapter 7; subsequent academic discussion in Asian Security, Journal of East Asian Studies, and the International Institute for Strategic Studies DPRK-cyber periodic assessments.
  3. South Korean National Intelligence Service public assessments (multi-year); defector accounts published through the Daily NK and NK News research streams.
  4. Anna Fifield, The Great Successor: The Divinely Perfect Destiny of Brilliant Comrade Kim Jong Un (PublicAffairs, 2019), Chapter on the DPRK cyber programme; Bruce Bechtol, North Korean Military Proliferation in the Middle East and Africa (University Press of Kentucky, 2018).
  5. United States Federal Bureau of Investigation, Update on Sony Investigation (19 December 2014); United States v. Park Jin-Hyok, Complaint and Indictment, U.S. District Court for the Central District of California (8 June 2018, unsealed 6 September 2018), available at justice.gov.
  6. United Kingdom NCSC, joint US-UK attribution of WannaCry to North Korea (19 December 2017); Microsoft Security Response Center, Customer Guidance for WannaCrypt attacks (May 2017).
  7. United Nations Security Council Panel of Experts on DPRK sanctions, successive annual reports (S/2019/171, S/2020/151, S/2021/211, S/2022/132, S/2023/171, S/2024/215); Chainalysis annual Crypto Crime Reports; Anne Neuberger (then-Deputy National Security Advisor for Cyber and Emerging Technology), public statements on DPRK cyber-financial-crime (2022–2023).
  8. Mandiant, APT43: North Korean Group Uses Cybercrime to Fund Espionage Operations (March 2023); CrowdStrike Global Threat Report series; Trend Micro Research on DPRK academic-and-think-tank targeting.
  9. United States v. Park Jin-Hyok, op. cit. (September 2018); United States v. Jon Chang Hyok et al., Indictment, U.S. District Court for the Central District of California (February 2021), available at justice.gov; United States v. Rim Jong Hyok, Indictment, U.S. District Court for the District of Kansas (July 2024), available at justice.gov.
  10. United States Department of Treasury, Treasury Sanctions North Korean State-Sponsored Malicious Cyber Groups (13 September 2019); United Nations Security Council Panel of Experts reports, op. cit.