Los hackers norcoreanos apuntan a las criptomonedas con empresas falsas y ofertas de trabajo

Los investigadores de la firma de ciberseguridad Silent Push han descubierto una campaña sofisticada del grupo de amenaza persistente avanzada (APT) norcoreano conocido como Contagious Interview (también conocido como “Famous Chollima”), un subgrupo dentro del notorio Lazarus Group.

Esta operación involucró la creación de empresas falsas de criptomonedas en EE. UU. y el uso de tácticas engañosas de entrevistas laborales para distribuir malware e infiltrarse en organizaciones.

Hallazgos Clave

Según Silent Push, los hackers establecieron tres empresas frontales de criptomonedas: BlockNovas LLC en Nuevo México, Angeloper Agency y SoftGlide LLC en Nueva York, utilizando identidades y direcciones falsas. Angeloper Agency permanece no registrada en EE. UU.

“En esta nueva campaña, el grupo de actores de amenazas está utilizando tres empresas frontales en la industria de consultoría de criptomonedas: BlockNovas LLC (blocknovas[.] com), Angeloper Agency (angeloper[.]com) y SoftGlide LLC (softglide[.]co) para difundir malware a través de ‘anzuelos de entrevistas laborales’”, dijo Silent Push en una publicación de blog detallada.

Estas entidades, que se hacen pasar por firmas legítimas de consultoría de criptomonedas, fueron creadas para atraer a buscadores de empleo en criptomonedas desprevenidos a descargar malware, comprometer billeteras de criptomonedas y robar credenciales.

Además de las empresas falsas, los solicitantes de empleo fueron objetivo de anuncios de trabajo falsos y perfiles al estilo de LinkedIn, durante los cuales fueron engañados para descargar archivos cargados de malware disfrazados como materiales de solicitud o documentos de incorporación.

Las tres cepas de malware identificadas en esta campaña son BeaverTail, InvisibleFerret y OtterCookie, que anteriormente estaban vinculadas a unidades cibernéticas norcoreanas. Estos programas podrían robar datos, proporcionar acceso de puerta trasera a sistemas infectados y servir como puntos de entrada para ataques posteriores utilizando spyware o ransomware adicional.

Según Silent Push, Blocknovas, la más activa de las tres empresas frontales, fue incautada por el Buró Federal de Investigaciones (FBI) de EE. UU. el 23 de abril de 2025. El aviso publicado en el sitio indica que el sitio fue cerrado “como parte de una acción de aplicación de la ley contra actores cibernéticos norcoreanos que utilizaron este dominio para engañar a individuos con anuncios de trabajo falsos y distribuir malware.”

Además de utilizar servicios como Astrill VPN y proxies residenciales para ofuscar su infraestructura y actividades, la campaña Contagious Interview también empleó herramientas de IA, como “Remaker AI” (remaker[.]ai), para crear perfiles convincentes de empleados falsos para las tres empresas frontales de criptomonedas y mejorar la credibilidad de estas firmas fraudulentas.

Por último, como parte de los ataques a criptomonedas, la campaña utilizó en gran medida plataformas como GitHub, sitios de anuncios de empleo y sitios web de freelancers para llegar a posibles víctimas y distribuir software malicioso.

Implicaciones y Recomendaciones

A medida que las amenazas cibernéticas norcoreanas continúan evolucionando, las organizaciones, particularmente en el sector de criptomonedas, esta campaña subraya la necesidad de una mayor vigilancia en las prácticas de ciberseguridad, especialmente en el sector de criptomonedas y durante el proceso de contratación.

Para protegerse contra estos ataques sofisticados, las organizaciones deben implementar procesos de verificación rigurosos para los solicitantes de empleo, incluyendo la realización de entrevistas en persona o por video y verificaciones de antecedentes exhaustivas, y educar a los empleados sobre los riesgos de ofertas de trabajo y entrevistas no solicitadas.

Para un análisis detallado de esta campaña, puedes consultar el informe completo de Silent Push: Empresas Frontales de Contagious Interview.