Hackers norcoreanos utilizan empresas de criptomonedas falsas y entrevistas de trabajo para propagar malware

En un nuevo y escalofriante giro en las tácticas de ciberdelincuencia, hackers vinculados con Corea del Norte se hacen pasar por consultoras legítimas de criptomonedas para propagar malware durante entrevistas de trabajo falsas. La sofisticada campaña, descubierta por expertos en ciberseguridad, demuestra hasta qué punto están dispuestos a llegar los cibercriminales para infiltrarse en los sistemas y robar información confidencial.

Empresas falsas, amenazas reales

Según un análisis profundo de Silent Push, los actores de amenazas detrás de la llamada campaña "Entrevista Contagiosa" han creado tres empresas fachada:

  • BlockNovas LLC (blocknovas[.]com)
  • Agencia Angeloper (angeloper[.]com)
  • SoftGlide LLC (softglide[.]co)

Estas empresas falsas atraen a víctimas desprevenidas —principalmente profesionales de TI y criptomonedas— a procesos de contratación falsos. Con el pretexto de tareas de programación o entrevistas técnicas, los solicitantes son engañados para que descarguen malware camuflado en materiales de trabajo legítimos.

Las familias de malware implementadas en esta operación incluyen BeaverTail, InvisibleFerret y OtterCookie, cada una cuidadosamente diseñada para comprometer una amplia gama de sistemas, incluidos Windows, Linux y macOS.

Una red de engaños

La operación Entrevista Contagiosa, que las empresas de ciberseguridad también rastrean bajo nombres como DeceptiveDevelopment y Famous Chollima, representa una dramática escalada en las tácticas de ciberespionaje de Corea del Norte.

Los hackers no se limitan a sitios web falsos. Han creado perfiles fraudulentos en plataformas de redes sociales como Facebook, LinkedIn, Pinterest, X (anteriormente Twitter), Medium, GitHub y GitLab para legitimar sus operaciones. Silent Push señaló que BlockNovas incluso inventó un equipo completo de empleados para su sitio web, afirmando falsamente más de 12 años de experiencia, a pesar de que la empresa era recién registrada.

Este engaño culmina con la implementación de malware. Las víctimas, seleccionadas durante el proceso de contratación, descargan inadvertidamente BeaverTail, un ladrón y cargador de JavaScript, que posteriormente instala InvisibleFerret, una puerta trasera capaz de mantener la persistencia y exfiltrar datos confidenciales. Algunas infecciones también instalan una herramienta de malware secundaria llamada OtterCookie.

Infraestructura y objetivos

BlockNovas no se limitó a sitios web y perfiles falsos. Los investigadores de Silent Push encontraron un "Panel de Estado" en uno de los subdominios de BlockNovas, utilizado para monitorear varios dominios involucrados en los ataques. Además, se descubrió que mail.blocknovas[.]com alojaba Hashtopolis, una herramienta de código abierto para la gestión de descifrado de contraseñas.

Las campañas de reclutamiento fraudulentas ya han causado víctimas. En un caso confirmado de septiembre de 2024, la billetera de criptomonedas MetaMask de un desarrollador fue comprometida.

Otro descubrimiento alarmante involucró a un sitio llamado Kryptoneer (alojado en attisscmo[.]com), que ofrece servicios para conectar billeteras de criptomonedas, una medida posiblemente dirigida a los usuarios de blockchain, particularmente aquellos conectados a la blockchain Sui.

Represión e implicaciones internacionales

A partir del 23 de abril de 2025, las fuerzas de seguridad estadounidenses, incluido el FBI, confiscaron el dominio BlockNovas, citando su papel en la difusión de malware bajo el pretexto de falsas oportunidades laborales.

Más allá de las vulnerabilidades técnicas, los investigadores han observado que los actores de amenazas utilizan herramientas basadas en IA como Remaker para generar fotos de perfil falsas y realistas, lo que aumenta la credibilidad de sus empresas falsas. También hay evidencia que sugiere vínculos con la infraestructura rusa: los investigadores rastrearon la operación hasta rangos de IP rusos enmascarados por VPN, proxies y servidores VPS cerca de la frontera entre Corea del Norte y Rusia.

Dados estos vínculos, los expertos sugieren que puede haber un nivel de cooperación o al menos de compartición de infraestructura entre los cibercriminales norcoreanos y rusos, aunque la confirmación sigue teniendo un nivel de confianza bajo a medio.

El panorama general: herramientas Wagemole y GenAI

La campaña "Entrevista Contagiosa" es solo una faceta de una estrategia norcoreana más amplia. Otra táctica, conocida como "Wagemole", consiste en que agentes norcoreanos utilizan perfiles generados por IA para conseguir empleos legítimos en empresas extranjeras. Los salarios de estos empleos se canalizan posteriormente al régimen.

La empresa de ciberseguridad Okta advirtió que los facilitadores norcoreanos utilizan cada vez más herramientas de IA generativa (GenAI) para gestionar horarios, transcribir conversaciones y traducir entrevistas en tiempo real, lo que hace que sus esfuerzos de infiltración sean más difíciles de detectar e interrumpir.

Una mayor vigilancia es crucial

Esta campaña destaca la creciente sofisticación de los ciberataques estatales y el uso innovador de la ingeniería social. Los trabajadores tecnológicos, especialmente aquellos en los sectores de criptomonedas y finanzas, deben mantenerse sumamente alertas cuando se les presenten oportunidades de trabajo, sobre todo si el proceso de contratación parece apresurado, inusual o implica la descarga de archivos desconocidos.

Las organizaciones deben fortalecer sus procesos de selección de candidatos y sus defensas de ciberseguridad. En una época donde una oferta de trabajo aparentemente inocente podría dar lugar a infecciones de malware devastadoras, la precaución ya no es opcional: es esencial.

En Zane
April 28, 2025
Computer Security
Spanish
April 28, 2025
Computer Security

Entradas populares

Eporner.com y por qué sus excesivas ventanas emergentes son...

Hace 15 days

¿Qué es el archivo OperaGXSetup.exe y es malicioso?

Hace 11 months

HackTool:Win32/Crack: una amenaza maliciosa que puede dañar...

Hace 7 months

Tome nota: alguien lo agregó como su estafa de correo...

Hace 10 months

¿Qué es la amenaza del caballo de Troya Packunwan y cómo puede...

Hace 11 months

Una amenaza potencialmente grave: Trojan:Win32/Suschil!rfn

Hace 22 days
Spanish
Cargando...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Productos

Cyclonis Password Manager Cyclonis World Time

Soporte

Archivos de ayuda Preguntas frecuentes Downloads Inquiries & Support

Empresa

Sobre Nosotros Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de privacidad Política de cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows es una marca comercial de Microsoft, registrada en EE. UU. Y otros países.
Mac, iPhone, iPad y App Store son marcas comerciales de Apple Inc., registradas en EE. UU. Y otros países.
iOS es una marca comercial registrada de Cisco Systems, Inc. y / o sus afiliadas en los Estados Unidos y algunos otros países.
Android y Google Play son marcas comerciales de Google LLC.