Los actores de amenaza vinculados a Corea del Norte detr\u00e1s de la entrevista contagiosa se han establecido en las compa\u00f1\u00edas de primera instancia como una forma de distribuir malware durante el proceso de contrataci\u00f3n falsa.<\/p>\n
“En esta nueva campa\u00f1a, el grupo de actores de amenazas est\u00e1 utilizando tres compa\u00f1\u00edas frontales en la industria de consultor\u00eda de criptomonedas: BLOCKNOVAS LLC (Blocknovas[.] com), Agencia Angeloper (Angeloper[.]com) y Softglide LLC (SoftGlide[.]CO) – para difundir malware a trav\u00e9s de ‘se\u00f1uelos de entrevista de trabajo’, Silent Push dicho<\/a> En un an\u00e1lisis de inmersi\u00f3n profunda.<\/p>\n La actividad, dijo la compa\u00f1\u00eda de seguridad cibern\u00e9tica, se est\u00e1 utilizando para distribuir tres familias de malware conocidas diferentes, Beavertail, InvisibleFerret y Ottercookie.<\/p>\n La entrevista contagiosa es una de las diversas campa\u00f1as de ingenier\u00eda social con tema de trabajo orquestadas por Corea del Norte para atraer objetivos a descargar malware multiplataforma con el pretexto de la asignaci\u00f3n de codificaci\u00f3n o solucionar un problema con su navegador cuando se gira en la c\u00e1mara durante una evaluaci\u00f3n de video.<\/p>\n La actividad es rastreada por la comunidad de ciberseguridad m\u00e1s amplia bajo los apodos CL-STA-0240, DeceptivedEbper, Dev#Popper, Famosa Chollima, UNC5342 y Void Dokkaebi.<\/p>\n El uso de compa\u00f1\u00edas frontales para la propagaci\u00f3n de malware, complementado con las cuentas fraudulentas en Facebook, LinkedIn, Pinterest, X, Medium, Github y Gitlab, marca una nueva escalada para los actores de amenaza, que se han observado utilizando varias placas de trabajo para atraer a las v\u00edctimas.<\/p>\n “La compa\u00f1\u00eda delantera de Blocknovas tiene 14 personas que supuestamente trabajan para ellos, sin embargo, muchos de los empleados […] Parece ser falso “, dijo Silent Push.” \u200b\u200bAl ver la p\u00e1gina ‘Acerca de nosotros’ de Blocknovas[.]Com a trav\u00e9s de la m\u00e1quina Wayback, el grupo afirm\u00f3 haber estado operando durante ’12+ a\u00f1os ‘, que es 11 a\u00f1os m\u00e1s que el negocio ha sido registrado “.<\/p>\n Los ataques conducen a la implementaci\u00f3n de un robador y cargador de JavaScript llamado Beaverail, que luego se usa para soltar una puerta trasera de Python denominada Invisibleferret que puede establecer la persistencia en los hosts de Windows, Linux y MacOS. Tambi\u00e9n se ha encontrado que las cadenas de infecci\u00f3n seleccionadas sirven a otro OtterCookie con nombre en c\u00f3digo de malware a trav\u00e9s de la misma carga \u00fatil de JavaScript utilizada para iniciar Beaverail.<\/p>\n Se ha observado blocknovas utilizando evaluaciones de video para distribuir Frostyferret y Golangghost utilizando se\u00f1uelos relacionados con ClickFix, una t\u00e1ctica que sekoia detall\u00f3 a principios de este mes, que est\u00e1 rastreando la actividad bajo la entrevista de ClickFake de nombre.<\/p>\n Beaverail est\u00e1 configurado para contactar a un servidor externo (“Lianxinxiao[.]com “) para el comando y el control (C2) para servir a InvisibleFermet como la carga \u00fatil de seguimiento. Viene con varias caracter\u00edsticas para cosechar informaci\u00f3n del sistema, iniciar un shell inverso, descargar m\u00f3dulos adicionales para robar datos, archivos del navegador e iniciar la instalaci\u00f3n del software de acceso remoto AnyDesk.<\/p>\n Un an\u00e1lisis posterior de la infraestructura maliciosa ha revelado la presencia de un “tablero de estado” alojado en uno de los subdominios de Blocknovas para mantener la visibilidad en cuatro de sus dominios: Lianxinxiao[.]com, Angeloperonline[.]en l\u00ednea y softglide[.]co.<\/p>\n Un subdominio separado, Mail.Blocknovas[.]Tambi\u00e9n se ha encontrado que el dominio COM est\u00e1 alojando un sistema de gesti\u00f3n de cracking de contrase\u00f1a distribuida y de c\u00f3digo abierto llamado Hashtopolis<\/a>. El Unidades de reclutamiento falsas<\/a> han llevado a al menos un desarrollador a obtener su billetera de metamask supuestamente comprometido<\/a> en septiembre de 2024.<\/p>\n Eso no es todo. Los actores de la amenaza tambi\u00e9n parecen ser anfitriones de una herramienta llamada Kryptoneer en el dominio attisscmo[.]com que ofrece la capacidad de conectarse a billeteras de criptomonedas como Suiet Wallet, Ethos Wallet y Sui Wallet.<\/p>\n “Es posible que los actores de amenaza de Corea del Norte hayan hecho esfuerzos adicionales para atacar a la cadena de bloques Sui, o este dominio se puede usar dentro de los procesos de solicitud de empleo como un ejemplo del ‘Proyecto Crypto’ en el que se est\u00e1 trabajando”, dijo Silent Push.<\/p>\n Blocknovas, seg\u00fan un informe independiente publicado por Trend Micro, tambi\u00e9n anunci\u00f3 en diciembre de 2024 un puesto abierto para un ingeniero de software senior en LinkedIn, espec\u00edficamente dirigido a profesionales de TI ucranianos.<\/p>\n Al 23 de abril de 2025, el dominio de Blocknovas ha sido incautado por la Oficina Federal de Investigaci\u00f3n de los Estados Unidos (FBI) como parte de una acci\u00f3n de aplicaci\u00f3n de la ley contra los actores cibern\u00e9ticos de Corea del Norte por usarlo para “enga\u00f1ar a las personas con ofertas de trabajo falsas y distribuir malware”.<\/p>\n Adem\u00e1s de usar servicios como Astrill VPN<\/a> Y los representantes residenciales para ofuscar su infraestructura y actividades, un aspecto notable de la actividad maliciosa es el uso de herramientas de inteligencia artificial (IA) como Remaker para crear im\u00e1genes de perfil.<\/p>\n La compa\u00f1\u00eda de seguridad cibern\u00e9tica, en su an\u00e1lisis de la campa\u00f1a de entrevistas contagiosa, dijo que identific\u00f3 cinco rangos de propiedad intelectual rusa que se han utilizado para llevar a cabo la operaci\u00f3n. Estas direcciones IP est\u00e1n oscurecidas por una capa VPN, una capa proxy o una capa RDP.<\/p>\n “Los rangos de direcci\u00f3n IP rusos, que est\u00e1n ocultos por una gran red de anonimizaci\u00f3n que utiliza servicios VPN comerciales, servidores proxy y numerosos servidores VPS con RDP, se asignan a dos compa\u00f1\u00edas en Khasan y Khabarovsk”, los investigadores de seguridad Feike Hacquebord y Stephen Hilt dicho<\/a>.<\/p>\n “Khasan est\u00e1 a una milla de la frontera de Corea del Norte-Rusia, y Khabarovsk es conocido por sus lazos econ\u00f3micos y culturales con Corea del Norte”.<\/p>\n Si la entrevista contagiosa es un lado de la moneda, el otro es la amenaza de trabajadores de TI fraudulenta conocida como Wagemole, que se refiere a una t\u00e1ctica que implica elaborar personajes falsos que usan IA para que sus trabajadores de TI se contraten de forma remota como empleados en las principales empresas.<\/p>\n Estos esfuerzos tienen doble motivaciones, dise\u00f1adas para robar datos confidenciales y perseguir ganancias financieras al canalizar una parte de los salarios mensuales a la Rep\u00fablica Popular Democr\u00e1tica de Corea (RPDC).<\/p>\n “Los facilitadores ahora est\u00e1n utilizando herramientas basadas en Genai para optimizar cada paso en el proceso de aplicaci\u00f3n y entrevista para roles y para ayudar a los ciudadanos de la RPDC que intentan mantener este empleo”, Okta dicho<\/a>.<\/p>\n “Estos servicios mejorados por Genai son necesarios para administrar la programaci\u00f3n de entrevistas de trabajo con m\u00faltiples personajes candidatos a la RPDC por un peque\u00f1o cuadro de facilitadores. Estos servicios usan Genai en todo, desde herramientas que transcriben o resumen conversaciones, hasta traducci\u00f3n en tiempo real de voz y texto”.<\/p>\n Los datos de telemetr\u00eda recopilados por Trend Micro se\u00f1ala a los actores de amenaza alineados por Pyongyang que trabajan desde China, Rusia y Pakist\u00e1n, mientras usan los rangos de IP rusos para conectarse con docenas de servidores VPS a trav\u00e9s de RDP y luego realizar tareas como interactuar en sitios de reclutamiento de empleo y acceder a los servicios relacionados con las criptrip\u00farceles.<\/p>\n “Dado que una parte significativa de las capas m\u00e1s profundas de la red de anonimizaci\u00f3n de los actores norcoreanos est\u00e1 en Rusia, es plausible, con baja confianza, que existe alguna forma de cooperaci\u00f3n intencional o intercambio de infraestructuras entre Corea del Norte y las entidades rusas”, dijo la compa\u00f1\u00eda.<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/Los-piratas-informaticos-de-Corea-del-Norte-difundieron-malware-a.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/div>\n<\/a><\/center><\/div>\n