Los actores de amenaza vinculados a Corea del Norte detrás de la entrevista contagiosa se han establecido en las compañías de primera instancia como una forma de distribuir malware durante el proceso de contratación falsa.
“En esta nueva campaña, el grupo de actores de amenazas está utilizando tres compañías frontales en la industria de consultoría de criptomonedas: BLOCKNOVAS LLC (Blocknovas[.] com), Agencia Angeloper (Angeloper[.]com) y Softglide LLC (SoftGlide[.]CO) – para difundir malware a través de ‘señuelos de entrevista de trabajo’, Silent Push dicho En un análisis de inmersión profunda.
La actividad, dijo la compañía de seguridad cibernética, se está utilizando para distribuir tres familias de malware conocidas diferentes, Beavertail, InvisibleFerret y Ottercookie.
La entrevista contagiosa es una de las diversas campañas de ingeniería social con tema de trabajo orquestadas por Corea del Norte para atraer objetivos a descargar malware multiplataforma con el pretexto de la asignación de codificación o solucionar un problema con su navegador cuando se gira en la cámara durante una evaluación de video.
La actividad es rastreada por la comunidad de ciberseguridad más amplia bajo los apodos CL-STA-0240, DeceptivedEbper, Dev#Popper, Famosa Chollima, UNC5342 y Void Dokkaebi.
El uso de compañías frontales para la propagación de malware, complementado con las cuentas fraudulentas en Facebook, LinkedIn, Pinterest, X, Medium, Github y Gitlab, marca una nueva escalada para los actores de amenaza, que se han observado utilizando varias placas de trabajo para atraer a las víctimas.
“La compañía delantera de Blocknovas tiene 14 personas que supuestamente trabajan para ellos, sin embargo, muchos de los empleados […] Parece ser falso “, dijo Silent Push.” Al ver la página ‘Acerca de nosotros’ de Blocknovas[.]Com a través de la máquina Wayback, el grupo afirmó haber estado operando durante ’12+ años ‘, que es 11 años más que el negocio ha sido registrado “.
Los ataques conducen a la implementación de un robador y cargador de JavaScript llamado Beaverail, que luego se usa para soltar una puerta trasera de Python denominada Invisibleferret que puede establecer la persistencia en los hosts de Windows, Linux y MacOS. También se ha encontrado que las cadenas de infección seleccionadas sirven a otro OtterCookie con nombre en código de malware a través de la misma carga útil de JavaScript utilizada para iniciar Beaverail.
Se ha observado blocknovas utilizando evaluaciones de video para distribuir Frostyferret y Golangghost utilizando señuelos relacionados con ClickFix, una táctica que sekoia detalló a principios de este mes, que está rastreando la actividad bajo la entrevista de ClickFake de nombre.
Beaverail está configurado para contactar a un servidor externo (“Lianxinxiao[.]com “) para el comando y el control (C2) para servir a InvisibleFermet como la carga útil de seguimiento. Viene con varias características para cosechar información del sistema, iniciar un shell inverso, descargar módulos adicionales para robar datos, archivos del navegador e iniciar la instalación del software de acceso remoto AnyDesk.
Un análisis posterior de la infraestructura maliciosa ha revelado la presencia de un “tablero de estado” alojado en uno de los subdominios de Blocknovas para mantener la visibilidad en cuatro de sus dominios: Lianxinxiao[.]com, Angeloperonline[.]en línea y softglide[.]co.
Un subdominio separado, Mail.Blocknovas[.]También se ha encontrado que el dominio COM está alojando un sistema de gestión de cracking de contraseña distribuida y de código abierto llamado Hashtopolis. El Unidades de reclutamiento falsas han llevado a al menos un desarrollador a obtener su billetera de metamask supuestamente comprometido en septiembre de 2024.
Eso no es todo. Los actores de la amenaza también parecen ser anfitriones de una herramienta llamada Kryptoneer en el dominio attisscmo[.]com que ofrece la capacidad de conectarse a billeteras de criptomonedas como Suiet Wallet, Ethos Wallet y Sui Wallet.
“Es posible que los actores de amenaza de Corea del Norte hayan hecho esfuerzos adicionales para atacar a la cadena de bloques Sui, o este dominio se puede usar dentro de los procesos de solicitud de empleo como un ejemplo del ‘Proyecto Crypto’ en el que se está trabajando”, dijo Silent Push.
Blocknovas, según un informe independiente publicado por Trend Micro, también anunció en diciembre de 2024 un puesto abierto para un ingeniero de software senior en LinkedIn, específicamente dirigido a profesionales de TI ucranianos.
Al 23 de abril de 2025, el dominio de Blocknovas ha sido incautado por la Oficina Federal de Investigación de los Estados Unidos (FBI) como parte de una acción de aplicación de la ley contra los actores cibernéticos de Corea del Norte por usarlo para “engañar a las personas con ofertas de trabajo falsas y distribuir malware”.
Además de usar servicios como Astrill VPN Y los representantes residenciales para ofuscar su infraestructura y actividades, un aspecto notable de la actividad maliciosa es el uso de herramientas de inteligencia artificial (IA) como Remaker para crear imágenes de perfil.
La compañía de seguridad cibernética, en su análisis de la campaña de entrevistas contagiosa, dijo que identificó cinco rangos de propiedad intelectual rusa que se han utilizado para llevar a cabo la operación. Estas direcciones IP están oscurecidas por una capa VPN, una capa proxy o una capa RDP.
“Los rangos de dirección IP rusos, que están ocultos por una gran red de anonimización que utiliza servicios VPN comerciales, servidores proxy y numerosos servidores VPS con RDP, se asignan a dos compañías en Khasan y Khabarovsk”, los investigadores de seguridad Feike Hacquebord y Stephen Hilt dicho.
“Khasan está a una milla de la frontera de Corea del Norte-Rusia, y Khabarovsk es conocido por sus lazos económicos y culturales con Corea del Norte”.
Si la entrevista contagiosa es un lado de la moneda, el otro es la amenaza de trabajadores de TI fraudulenta conocida como Wagemole, que se refiere a una táctica que implica elaborar personajes falsos que usan IA para que sus trabajadores de TI se contraten de forma remota como empleados en las principales empresas.
Estos esfuerzos tienen doble motivaciones, diseñadas para robar datos confidenciales y perseguir ganancias financieras al canalizar una parte de los salarios mensuales a la República Popular Democrática de Corea (RPDC).
“Los facilitadores ahora están utilizando herramientas basadas en Genai para optimizar cada paso en el proceso de aplicación y entrevista para roles y para ayudar a los ciudadanos de la RPDC que intentan mantener este empleo”, Okta dicho.
“Estos servicios mejorados por Genai son necesarios para administrar la programación de entrevistas de trabajo con múltiples personajes candidatos a la RPDC por un pequeño cuadro de facilitadores. Estos servicios usan Genai en todo, desde herramientas que transcriben o resumen conversaciones, hasta traducción en tiempo real de voz y texto”.
Los datos de telemetría recopilados por Trend Micro señala a los actores de amenaza alineados por Pyongyang que trabajan desde China, Rusia y Pakistán, mientras usan los rangos de IP rusos para conectarse con docenas de servidores VPS a través de RDP y luego realizar tareas como interactuar en sitios de reclutamiento de empleo y acceder a los servicios relacionados con las criptripúrceles.
“Dado que una parte significativa de las capas más profundas de la red de anonimización de los actores norcoreanos está en Rusia, es plausible, con baja confianza, que existe alguna forma de cooperación intencional o intercambio de infraestructuras entre Corea del Norte y las entidades rusas”, dijo la compañía.
About the Author
