Los actores de amenaza de Corea del Norte detr\u00e1s de la entrevista contagiosa han adoptado la t\u00e1ctica de ingenier\u00eda social ClickFix cada vez m\u00e1s popular para atraer a los solicitantes de empleo en el sector de criptomonedas para entregar una puerta trasera de GO previamente indocumentada llamada Golangghost en Windows y MacOS Systems.<\/p>\n
La nueva actividad, evaluada como una continuaci\u00f3n de la campa\u00f1a, ha sido nombrado en c\u00f3digo Entrevista de ClickFake<\/strong> por la empresa francesa de ciberseguridad Sekoia. Se sabe que la entrevista contagiosa, tambi\u00e9n rastreada como la desarrollaci\u00f3n de DeceptedEbper, y el famoso Chollima, est\u00e1 activo desde al menos diciembre de 2022, aunque solo se document\u00f3 p\u00fablicamente por primera vez a fines de 2023.<\/p>\n “Utiliza sitios web leg\u00edtimos de entrevistas de trabajo para aprovechar la t\u00e1ctica de clickfix e instalar ventanas y macOS traseros”, los investigadores de Sekoia Amaury G., Coline Chavane y Felix Aim\u00e9 dicho<\/a>atribuyendo el esfuerzo a lo infame Grupo de L\u00e1zaro<\/a>un prol\u00edfico adversario atribuido a la Oficina General de Reconocimiento (RGB) de la Rep\u00fablica Popular Democr\u00e1tica de Corea (DPRK).<\/p>\n Un aspecto notable de la campa\u00f1a es que se dirige principalmente a las entidades financieras centralizadas al hacerse pasar por compa\u00f1\u00edas como Coinbase, Kucoin, Kraken, Circle, Securitize, Blockfi, Tether, Robinhood y Bybit, marcando una salida de los ataques del grupo de pirater\u00eda contra las entidades de finanzas descentralizadas (Defi).<\/p>\n La entrevista contagiosa, como Operation Dream Job, emplea ofertas de trabajo falsas como se\u00f1uelos para atraer objetivos posibles y enga\u00f1arlos para que descarguen malware que pueda robar la criptomonedas y otros datos confidenciales.<\/p>\n Como parte del esfuerzo, se acerca a los candidatos a trav\u00e9s de LinkedIn o X para prepararse para una entrevista de videollamadas, para la cual se les pide que descarguen un software de videoconferencia de malware o un proyecto de c\u00f3digo abierto que active el proceso de infecci\u00f3n.<\/p>\n El uso de Lazarus Group de la t\u00e1ctica ClickFix fue revelado por primera vez a fines de 2024 por el investigador de seguridad Taylor Monahan, con los cadenas de ataque que conducen al despliegue de una familia de malware llamada Ferret que luego ofrece la puerta trasera de Golang.<\/p>\n En esta iteraci\u00f3n de la campa\u00f1a, se les pide a las v\u00edctimas que visiten un supuesto servicio de entrevistas de video llamado Willo y completen una evaluaci\u00f3n de video de s\u00ed mismas.<\/p>\n “Toda la configuraci\u00f3n, dise\u00f1ada meticulosamente para generar confianza del usuario, contin\u00faa sin problemas hasta que se le pide al usuario que habilite su c\u00e1mara”, explic\u00f3 Sekoia. “En este punto, aparece un mensaje de error que indica que el usuario necesita descargar un controlador para solucionar el problema. Aqu\u00ed es donde el operador emplea la t\u00e9cnica ClickFix”.<\/p>\n Las instrucciones dadas a la v\u00edctima para permitir el acceso a la c\u00e1mara o al micr\u00f3fono var\u00edan seg\u00fan el sistema operativo utilizado. En Windows, se solicita a los objetivos que abra el s\u00edmbolo del sistema y ejecute un comando CURL para ejecutar un archivo de script de Visual Basic (VBS), que luego inicia un script por lotes para ejecutar GolangGhost.<\/p>\n En el caso de que la v\u00edctima visite el sitio desde una m\u00e1quina MacOS, se les pide de manera similar que inicie la aplicaci\u00f3n Terminal y ejecute un comando CURL para ejecutar un script de shell. El script de shell malicioso, por su parte, ejecuta un segundo script de shell que, a su vez, ejecuta un m\u00f3dulo de robador denominado Frostyferret (tambi\u00e9n conocido como ChromeUpdateAlert) y la puerta trasera.<\/p>\n Frostyferret muestra una ventana falsa que indica que el navegador web Chrome necesita acceso a la c\u00e1mara o micr\u00f3fono del usuario, despu\u00e9s de lo cual muestra una solicitud para ingresar la contrase\u00f1a del sistema. La informaci\u00f3n ingresada, independientemente de si es v\u00e1lida o de otra manera, se exfila a una ubicaci\u00f3n de Dropbox, lo que probablemente indica un intento de acceder al llavero iCloud utilizando la contrase\u00f1a robada.<\/p>\n Golangghost est\u00e1 dise\u00f1ado para facilitar el control remoto y el robo de datos a trav\u00e9s de varios comandos que le permiten cargar\/descargar archivos, enviar informaci\u00f3n del host y robar datos del navegador web.<\/p>\n “Se descubri\u00f3 que todas las posiciones no estaban relacionadas con perfiles t\u00e9cnicos en el desarrollo de software”, se\u00f1al\u00f3 Sekia. “Son principalmente trabajos de gerente centrados en el desarrollo empresarial, la gesti\u00f3n de activos, el desarrollo de productos o los especialistas en finanzas descentralizadas”.<\/p>\n “Este es un cambio significativo de las campa\u00f1as documentadas anteriores atribuidas a los actores de amenaza de DPRK-Nexus y basado en entrevistas falsas de trabajo, que se dirigieron principalmente a desarrolladores e ingenieros de software”.<\/p>\n El desarrollo se produce cuando el Grupo de Inteligencia de Amenazos de Google (GTIG) dijo que ha observado un aumento en el esquema de trabajadores de TI fraudulentos en Europa, subrayando una expansi\u00f3n significativa de sus operaciones m\u00e1s all\u00e1 de los Estados Unidos.<\/p>\n La actividad de los trabajadores de TI implica a los ciudadanos norcoreanos que se hacen pasar por trabajadores remotos leg\u00edtimos para infiltrarse en empresas y generar ingresos il\u00edcitos para Pyongyang en violaci\u00f3n de las sanciones internacionales<\/a>.<\/p>\n Una mayor conciencia de la actividad, junto con las acusaciones del Departamento de Justicia de los Estados Unidos, ha instigado una “expansi\u00f3n global de las operaciones de trabajadores de TI”, dijo Google, se\u00f1alando que descubri\u00f3 varias personas fabricadas en busca de empleo en varias organizaciones ubicadas en Alemania y Portugal.<\/p>\n Tambi\u00e9n se ha observado que los trabajadores de TI realizan varios proyectos en el Reino Unido relacionados con el desarrollo web, el desarrollo de BOT, el desarrollo del Sistema de Gesti\u00f3n de Contenido (CMS) y la tecnolog\u00eda Blockchain, a menudo falsifican sus identidades y afirman ser de Italia, Jap\u00f3n, Malasia, Singapur, Ucrania, Estados Unidos y Vietnam.<\/p>\n Esta t\u00e1ctica de los trabajadores de TI que se hace pasar por los ciudadanos vietnamitas, japoneses y singapurenses tambi\u00e9n fue destacado<\/a> por la firma de inteligencia administrada Nisos a principios del mes pasado, al tiempo que se\u00f1ala su uso de GitHub para tallar nuevas personas o reciclar el contenido de cartera de personajes m\u00e1s antiguos para reforzar sus nuevos.<\/p>\n “Los trabajadores de TI en Europa fueron reclutados a trav\u00e9s de varias plataformas en l\u00ednea, incluidos Upwork, Telegram y Freelancer”, Jamie Collier, asesor de inteligencia de amenazas de Europa en GTIG, dicho<\/a>. “El pago por sus servicios se facilit\u00f3 a trav\u00e9s de la criptomoneda, el servicio de transferencia y Payoneer, destacando el uso de m\u00e9todos que ofuscan el origen y el destino de los fondos”.<\/p>\n Adem\u00e1s de usar facilitadores locales para ayudarlos a conseguir empleos, la operaci\u00f3n de amenaza interna es testigo de lo que parece ser un aumento en los intentos de extorsi\u00f3n desde octubre de 2024, cuando se convirti\u00f3 en un conocimiento p\u00fablico de que estos trabajadores de TI est\u00e1n recurriendo a los pagos de rescate de sus empleadores para evitar que liberen datos de propiedad o para proporcionarle a un competidor. <\/p>\n En lo que parece ser una evoluci\u00f3n adicional del esquema, ahora se dice que los trabajadores de TI apuntan a empresas que operan una pol\u00edtica de traer su propio dispositivo (BYOD) debido al hecho de que es poco probable que dichos dispositivos tengan herramientas tradicionales de seguridad y registro utilizadas en entornos empresariales.<\/p>\n “Europa necesita despertarse r\u00e1pidamente. A pesar de estar en la mira de las operaciones de los trabajadores de TI, demasiados perciben esto como un problema de los Estados Unidos. Los recientes cambios de Corea del Norte probablemente provienen de los obst\u00e1culos operativos de los Estados Unidos, mostrando la agilidad y la capacidad de los trabajadores para adaptarse a las circunstancias cambiantes”, dijo Collier.<\/p>\n “Una d\u00e9cada de diversos ataques cibern\u00e9ticos precede a la \u00faltima oleada de Corea del Norte, desde la sencilla y el ransomware, hasta el compromiso de robo de criptomonedas y cadena de suministro. Esta innovaci\u00f3n implacable demuestra un compromiso de larga data para financiar el r\u00e9gimen a trav\u00e9s de las operaciones cibern\u00e9ticas”.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/El-Grupo-de-Lazarus-se-dirige-a-los-solicitantes-de.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\nEl esquema de trabajadores de TI de Corea del Norte se vuelve activo en Europa<\/h3>\n
<\/a><\/center><\/div>\n