(https://i.imgur.com/QuecD1N.png)
Los actores de amenazas vinculados a Corea del Norte han intensificado sus tácticas de ciberespionaje y distribución de malware con la campaña "Contagious Interview", utilizando empresas fachada en la industria de criptomonedas para lanzar ataques durante procesos de contratación falsos. Esta operación de ingeniería social ha sido documentada por la firma de ciberseguridad Silent Push, que alerta sobre la propagación de tres familias de malware mediante sitios web fraudulentos y perfiles falsos en redes sociales.
Empresas fachada utilizadas por Corea del NorteLas compañías utilizadas como fachada en esta campaña son:
- BlockNovas LLC (blocknovas[.]com)
- Agencia Angeloper (angeloper[.]com)
- SoftGlide LLC (softglide[.]com)
Estas empresas simulan operar en el ámbito de la consultoría en criptomonedas, pero en realidad sirven como plataforma para ejecutar campañas de infección mediante archivos maliciosos disfrazados de señuelos para entrevistas laborales.
Malware distribuido en las entrevistas falsasLa campaña "Contagious Interview" ha sido usada para propagar tres familias de malware identificadas como:
- BeaverTail: ladrón y cargador basado en JavaScript.
- InvisibleFerret: backdoor desarrollado en Python con capacidades multiplataforma (Windows, macOS y Linux).
- OtterCookie: software malicioso adicional entregado junto a BeaverTail.
Los ataques comienzan cuando el objetivo ejecuta una supuesta prueba técnica o evaluación de vídeo, momento en el que el malware se activa bajo el pretexto de requerir acceso a la cámara o al navegador.
Técnicas avanzadas de evasión y persistenciaBeaverTail establece conexión con un servidor de comando y control (C2) en lianxinxiao[.]com, desde donde recibe instrucciones y descarga InvisibleFerret como carga útil secundaria. Entre sus funciones destacan:
- Recolección de información del sistema.
- Ejecución de shells inversos.
- Robo de datos del navegador y archivos locales.
- Instalación de software de acceso remoto como AnyDesk.
Además, se ha identificado que el subdominio mail.blocknovas[.]com alberga Hashtopolis, una herramienta de gestión de descifrado de contraseñas, lo que refuerza la intención de obtener credenciales sensibles.
Presencia activa en redes sociales y plataformas de desarrolloLos ciberatacantes norcoreanos han creado perfiles falsos en redes como Facebook, LinkedIn, GitHub, GitLab, Medium, Pinterest y X (Twitter), con el fin de establecer contacto inicial con sus víctimas. Utilizan herramientas de inteligencia artificial, como Remaker, para generar imágenes de perfil creíbles y aumentar la legitimidad de los perfiles fraudulentos.
Ataques vinculados a criptomonedasTambién se ha detectado un dominio sospechoso, attisscmo[.]com, utilizado para alojar una herramienta denominada Kryptoneer, diseñada para interactuar con carteras de criptomonedas como Suiet Wallet, Ethos Wallet y Sui Wallet. Esto sugiere un interés particular en comprometer plataformas basadas en la cadena de bloques Sui.
Explotación geográfica e infraestructuraLos actores de amenazas han ocultado su infraestructura maliciosa mediante servicios como Astrill VPN y proxies residenciales, y han operado a través de rangos de IP asociados con Rusia. En concreto, se identificaron direcciones IP asignadas a empresas ubicadas en Khasan y Khabarovsk, regiones con fuertes lazos económicos con Corea del Norte.
Según los investigadores Feike Hacquebord y Stephen Hilt, esta infraestructura apunta a una posible colaboración entre Corea del Norte y entidades rusas, aunque se estima con un nivel de confianza entre bajo y medio.
Campaña paralela: WagemoleA la par de "Contagious Interview", Corea del Norte también opera la táctica conocida como Wagemole, que implica la creación de identidades falsas para insertar trabajadores de TI norcoreanos como empleados remotos en grandes empresas internacionales. Estas identidades son generadas con IA, y los sueldos obtenidos se redirigen parcialmente a la República Popular Democrática de Corea (RPDC).
La empresa Okta advierte que se están usando herramientas de IA generativa (GenAI) para automatizar procesos de solicitud de empleo, desde la programación de entrevistas hasta la traducción y resumen de conversaciones, con el objetivo de mejorar la eficacia de estas operaciones encubiertas.
Acción legal y desmantelamiento parcialEl FBI incautó el dominio blocknovas.com el 23 de abril de 2025, en una operación conjunta para detener la distribución de malware norcoreano mediante ofertas laborales fraudulentas. A pesar de esta acción, muchas de las infraestructuras asociadas siguen activas.
En conclusión, la campaña "Contagious Interview" representa una amenaza avanzada y persistente que combina ingeniería social, malware multiplataforma, criptografía y redes de anonimato para robar datos y financiar al régimen norcoreano. Las empresas deben estar alertas frente a cualquier proceso de contratación sospechoso, especialmente en sectores tecnológicos y de criptomonedas, y adoptar medidas proactivas de ciberseguridad.
Fuente: https://thehackernews.com/