El actor de amenaza vinculado a Corea del Norte evaluó que está detrás del truco masivo de Bybit en febrero de 2025 se ha vinculado a una campaña maliciosa que se dirige a los desarrolladores a entregar un nuevo malware de robador bajo la apariencia de una asignación de codificación.
La actividad ha sido atribuida por la Unidad 42 de Palo Alto Networks a un grupo de piratería que rastrea como Piscis lentoque también se conoce como Jade Sleet, Pukchong, comerciante y UNC4899.
“Piscis lentos comprometidos con desarrolladores de criptomonedas en LinkedIn, haciéndose pasar por posibles empleadores y enviando malware disfrazado de desafíos de codificación”, el investigador de seguridad Prashil Pattni dicho. “Estos desafíos requieren que los desarrolladores ejecuten un proyecto comprometido, infectando sus sistemas utilizando malware que hemos llamado RN Loader y RN Stealer”.
Slow Piscis tiene una historia de dirigir a los desarrolladores, típicamente en el sector de criptomonedas, al acercarse a ellos en LinkedIn como parte de una supuesta oportunidad de trabajo y atraerlos a abrir un documento PDF que detalla la tarea de codificación alojada en Github.
En julio de 2023, Github reveló que los empleados que trabajan en Blockchain, criptomonedas, juegos de azar en línea y empresas de ciberseguridad fueron señalados por el actor de amenazas, engañándolos a ejecutar paquetes maliciosos de NPM.
Luego, en junio pasado, Mandiant, propiedad de Google, detalló el modus operandi de los atacantes de enviar primero a los objetivos en LinkedIn en un documento PDF benigno que contiene una descripción de trabajo para una supuesta oportunidad de trabajo y seguirlo con un cuestionario de habilidades si expresan interés.
El cuestionario incluía instrucciones para completar un desafío de codificación descargando un proyecto de Python troyanizado de GitHub que, aunque aparentemente capaz de ver los precios de las criptomonedas, fue diseñado para contactar a un servidor remoto para obtener una carga útil de la segunda etapa no especificada si se cumplen ciertas condiciones.
La cadena de ataque de varias etapas documentada por la Unidad 42 sigue el mismo enfoque, con la carga útil maliciosa enviada solo a objetivos validados, probablemente en función de la dirección IP, la geolocalización, el tiempo y los encabezados de solicitud HTTP.
“Centrarse en las personas contactadas a través de LinkedIn, a diferencia de las amplias campañas de phishing, permite al grupo controlar estrechamente las etapas posteriores de la campaña y entregar las cargas útiles solo a las víctimas esperadas”, dijo Pattni. “Para evitar las funciones sospechosas de evaluación y ejecutivo, Slow Piscis usa Deserialización de Yaml para ejecutar su carga útil “.
La carga útil está configurada para ejecutar una familia de malware llamada RN Loader, que envía información básica sobre la máquina víctima y el sistema operativo a través de HTTPS al mismo servidor y recibe y ejecuta un blob codificado por base 64 de la próxima etapa.
El malware recién descargado es RN Stealer, un robador de información capaz de cosechar información confidencial de los sistemas de MacOS de Apple infectados. Esto incluye metadatos del sistema, aplicaciones instaladas, listado de directorio y el contenido de nivel superior del directorio de inicio de la víctima, el llavero iCloud, las claves SSH almacenadas y los archivos de configuración para AWS, Kubernetes y Google Cloud.
“El Infente de Infentes recopila información de víctimas más detallada, que los atacantes probablemente usaron para determinar si necesitaban acceso continuo”, dijo la Unidad 42.
Se insta a las víctimas específicas que solicitan un rol de JavaScript, del mismo modo, a descargar un proyecto de “Panel de criptomonedas” de GitHub que emplea una estrategia similar en la que el servidor de comando y control (C2) solo sirve cargas útiles adicionales cuando los objetivos cumplen ciertos criterios. Sin embargo, se desconoce la naturaleza exacta de la carga útil.
“El repositorio usa el Herramienta de plantilla de JavaScript (EJS) integradoPasando las respuestas del servidor C2 a la función EJS.Render (), “Pattni señaló”. Al igual que el uso de yaml.load (), esta es otra técnica que Piscis lenta emplea para ocultar la ejecución de código arbitrario de sus servidores C2, y este método quizás solo sea aparente al ver una carga útil válida “.
Jade Sleet es uno de los muchos Grupos de actividades de amenaza de Corea del Norte Para aprovechar los señuelos con temas de oportunidad de trabajo como Vector Distribuidor de Malware, los demás son Operation Dream Job, Contagious Entrevista y Seluring Piscis.
“Estos grupos no tienen superposiciones operativas. Sin embargo, estas campañas que utilizan vectores de infección iniciales similares son notables”, concluyó la Unidad 42. “Slow Piscis se destaca de las campañas de sus compañeros en seguridad operativa. La entrega de cargas útiles en cada etapa está muy protegida, existente solo en la memoria. Y las herramientas de etapa posterior del grupo solo se despliegan cuando es necesario”.
About the Author
