Incidentes Asociados
Se ha observado que los actores de amenazas norcoreanos responsables de la campaña "Entrevista Contagiosa" utilizan versiones actualizadas de un malware multiplataforma llamado OtterCookie, capaz de robar credenciales de navegadores web y otros archivos.
NTT Security Holdings, que detalló los nuevos hallazgos (https://jp.security.ntt/tech_blog/en-waterplum-ottercookie), afirmó que los atacantes han actualizado el malware de forma activa y continua, introduciendo las versiones v3 y v4 en febrero y abril de 2025, respectivamente.
La empresa japonesa de ciberseguridad está rastreando el clúster WaterPlum, también conocido como CL-STA-0240, DeceptiveDevelopment, DEV#POPPER, Famous Chollima, PurpleBravo y Tenacious Pungsan.
OtterCookie fue documentado por primera vez (https://thehackernews.com/2024/12/north-korean-hackers-deploy-ottercookie.html) por NTT el año pasado, tras haberlo observado en ataques desde septiembre de 2024. Distribuido mediante una carga útil de JavaScript a través de un paquete npm malicioso, un repositorio troyanizado de GitHub o Bitbucket, o una aplicación de videoconferencia falsa, está diseñado para contactar con un servidor externo y ejecutar comandos en hosts comprometidos.
Se ha descubierto que OtterCookie v3 incorpora un nuevo módulo de carga para enviar archivos que coinciden con un conjunto predefinido de extensiones al servidor externo. Este módulo consiste en variables de entorno, imágenes, documentos, hojas de cálculo, archivos de texto y archivos que contienen frases mnemotécnicas y de recuperación asociadas con monederos de criptomonedas.
Cabe destacar que este módulo se ejecutaba previamente en OtterCookie v2 como un comando de shell recibido del servidor.
La cuarta iteración del malware amplía las capacidades de su predecesor al añadir dos módulos adicionales para robar credenciales de Google Chrome, así como extraer datos de la extensión MetaMask para Google Chrome, el navegador Brave y el llavero de iCloud.
Otra nueva función de OtterCookie v4 es la capacidad de detectar si se ejecuta en entornos de máquinas virtuales (VM) de Broadcom VMware, Oracle VirtualBox, Microsoft y QEMU.
[
](http s://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEitPb3lVlA4H6uESOvthXKg_gbwJVJs0b-gaKBjLHLH0XKaDtrCMHTJKWh-luBas9Ma2a7QjEj9DjzUodKQctBPL6LIS4-ms96WyNK_4Zug9p2AyaILKO9atbsvl5DLLBv-hJtxX8wiDQXHgNKAyZZthITDPnLeadfAW0j3aC6GOxDO27NKomHGlQnZQKEv/s728-rw-e365/checks.png)
Curiosamente, se ha descubierto que el primer módulo ladrón, responsable de recopilar las credenciales de Google Chrome, lo hace después de descifrarlas, mientras que el segundo módulo recopila datos de inicio de sesión cifrados de navegadores como Chrome y Brave.
"Esta diferencia en el procesamiento de datos o el estilo de codificación implica que estos módulos fueron desarrollados por diferentes desarrolladores", afirmaron los investigadores Masaya Motoda y Rintaro Koike.
Esta revelación surge tras el descubrimiento de múltiples cargas útiles maliciosas relacionadas con la campaña "Entrevista Contagiosa" en los últimos meses, lo que indica que los actores de amenazas están perfeccionando su modus operandi.
Esto incluye un ladrón de información basado en Go que se distribuye bajo la apariencia de una actualización del controlador Realtek ("WebCam.zip") y que, al abrirse, ejecuta un script de shell responsable de descargar el ladrón e iniciar una aplicación engañosa para macOS ("DriverMinUpdate.app") diseñada para obtener la contraseña del sistema macOS de la víctima.
Se cree que el malware se distribuyó el mes pasado como parte de una versión actualizada de la actividad denominada ClickFake Interview por Sekoia, debido al uso de señuelos similares a ClickFix para solucionar problemas de audio y video inexistentes durante una evaluación en línea para una entrevista de trabajo.
"La función principal del ladrón es establecer un canal C2 persistente, analizar el sistema infectado y exfiltrar datos confidenciales", declaró Moonlock, la división de ciberseguridad de MacPaw. "Lo logra mediante una combinación de reconocimiento del sistema, robo de credenciales y ejecución remota de comandos". Se considera que la aplicación DriverMinUpdate forma parte de un conjunto más amplio de aplicaciones maliciosas similares, descubiertas por dmpdump, SentinelOne, ENKI y Kandji, como ChromeUpdateAlert, ChromeUpdate, CameraAccess y DriverEasy.
A La segunda nueva familia de malware relacionada con la campaña es Tsunami-Framework, que se distribuye como carga útil posterior a una conocida puerta trasera de Python, denominada InvisibleFerret. Este malware modular basado en .NET está equipado para robar una amplia gama de datos de navegadores web y monederos de criptomonedas.
También incorpora funciones para registrar pulsaciones de teclas, recopilar archivos e incluso un componente de botnet que parece estar en fase inicial de desarrollo, según informó la empresa de seguridad alemana HiSolutions en un informe publicado a finales del mes pasado.
Se cree que Contagious Interview, según ESET, es un nuevo grupo de actividad que forma parte del Grupo Lazarus, un conocido grupo de hackers norcoreano con un amplio historial de orquestación de ataques con fines financieros y de espionaje para impulsar los objetivos estratégicos del país y eludir las sanciones internacionales.
A principios de este año, se atribuyó al grupo adversario el robo récord de mil millones de dólares a la plataforma de criptomonedas Bybit.
La amenaza de los trabajadores informáticos norcoreanos persiste#
Los hallazgos se producen después de que la empresa de ciberseguridad Sophos revelara que los actores de amenazas detrás del esquema fraudulento de trabajadores informáticos de Corea del Norte, también conocidos como Famous Chollima, Nickel Tapestry y Wagemole, han comenzado a atacar cada vez más a organizaciones de Europa y Asia, así como a industrias más allá del sector tecnológico, para asegurar empleos y canalizar las ganancias a Pyongyang.
Para llevar a cabo el plan, se sabe que los actores de amenazas inundan portales de empleo como Xing, Upwork, Toptal y 9am con perfiles falsos, junto con sus correspondientes perfiles en redes sociales como LinkedIn, utilizando versiones de imágenes de archivo generadas por IA.
"Durante la fase previa al empleo, los actores de amenazas suelen manipular digitalmente fotos para sus currículums y perfiles de LinkedIn falsificados, y para acompañar su historial laboral previo o solicitudes de proyectos grupales", declaró la Unidad de Contraamenazas (CTU) de Secureworks de la empresa (https://news.sophos.com/en-us/2025/05/08/nickel-tapestry-expands-fraudulent-worker-operations/).
"Comúnmente usan fotos de archivo superpuestas con imágenes reales de ellos mismos. Los actores de amenazas también han incrementado el uso de IA generativa, incluyendo herramientas de escritura, edición de imágenes y generadores de currículums".
Los trabajadores fraudulentos, al conseguir un trabajo, también han sido descubiertos utilizando herramientas para manipular el ratón, software VPN como Astrill VPN y KVM sobre IP para acceso remoto; en algunos casos, incluso recurren a llamadas de Zoom de ocho horas para compartir la pantalla.
La firma de ciberseguridad ReliaQuest afirmó haber detectado una "tendencia recurrente" en sus dispositivos de autenticación multifactor (MFA), donde se identificaban con frecuencia marcas chinas como Oppo y Vivo, y que descubrió a varios norcoreanos infiltrados que se autenticaban desde la misma dirección IP fija.
"Operarios norcoreanos patrocinados por el estado se están infiltrando en empresas occidentales haciéndose pasar por profesionales cualificados de TI, especialmente en puestos de desarrollo web integral", señaló la firma en un nuevo informe que destaca las prácticas de los actores de amenazas.
Utilizando perfiles falsos generados por IA, identidades robadas y herramientas como Astrill VPN y dispositivos IP-KVM, estos agentes financian los programas de armas de Corea del Norte sin ser detectados. Sus tácticas explotan vulnerabilidades como las políticas BYOD, lo que pone de relieve la creciente sofisticación de las operaciones cibernéticas norcoreanas y la urgente necesidad de una rigurosa investigación de antecedentes de candidatos y la monitorización geográfica de los inicios de sesión.
La semana pasada, la plataforma de intercambio de criptomonedas Kraken reveló cómo una entrevista de trabajo rutinaria para un puesto de ingeniería se convirtió en una operación de recopilación de inteligencia tras detectar a un hacker norcoreano que intentaba infiltrarse en la empresa utilizando el nombre Steven Smith.
"El candidato usaba computadoras Mac remotas, pero interactuaba con otros componentes a través de una VPN, una configuración comúnmente implementada para ocultar la ubicación y la actividad de la red", declaró la compañía (https://blog.kraken.com/news/how-we-identified-a-north-korean-hacker). "Su currículum estaba vinculado a un perfil de GitHub que contenía una dirección de correo electrónico expuesta en una filtración de datos anterior".
"La identificación principal del candidato parecía estar alterada, probablemente con datos robados en un caso de robo de identidad dos años antes".
Pero en lugar de rechazar la solicitud del candidato de plano, Kraken afirmó que sus equipos de seguridad y reclutamiento lo guiaron estratégicamente a través del proceso de entrevistas para tenderle una trampa, pidiéndole que confirmara su ubicación, mostrara una identificación oficial y recomendara algunos restaurantes locales en la ciudad en la que decía estar.
"Aturdidos y sorprendidos, tuvieron dificultades con las pruebas básicas de verificación y no pudieron responder de forma convincente a preguntas en tiempo real sobre su ciudad de residencia o país de ciudadanía", declaró Kraken. Al final de la entrevista, la verdad quedó clara: no se trataba de un solicitante legítimo, sino de un impostor que intentaba infiltrarse en nuestros sistemas.
En otro caso documentado por el Departamento de Justicia de EE. UU. (DoJ) el mes pasado, un hombre de Maryland de 40 años, Minh Phuong Ngoc Vong (https://thehackernews.com/2024/05/indian-national-pleads-guilty-to-37.html), se declaró culpable de fraude tras conseguir un trabajo con un contratista del gobierno y luego subcontratarlo a un ciudadano norcoreano residente en Shenyang, China, lo que pone de relieve la gravedad de la actividad ilícita de recaudación de fondos.
La capacidad de Corea del Norte para infiltrar sigilosamente a miles de sus trabajadores en grandes empresas, a menudo con la ayuda de facilitadores que gestionan lo que se conoce como una granja de portátiles, ha generado reiteradas advertencias por parte de los gobiernos de Japón, Corea del Sur, Reino Unido y Estados Unidos.
Sarah Kern, directora de Amenazas Emergentes de la CTU de Corea del Norte en Sophos, declaró a Hacker News que se ha reclutado a facilitadores a través de LinkedIn o servicios de bolsa de trabajo para freelancers.
"A menudo, los facilitadores reclutados tenían cuentas en estos sitios para oportunidades de empleo legítimas antes de convertirse en cómplices del esquema", explicó Kern. "Los actores de amenazas han solicitado a varios facilitadores una amplia gama de tareas, como realizar entrevistas de trabajo en su nombre, recibir entregas de portátiles corporativos, falsificar documentos oficiales y enviar nóminas".
Se ha descubierto que estos trabajadores pasan hasta 14 meses dentro de una organización, y los actores de amenazas también participan en el robo de datos y amenazas de extorsión tras su despido.
"Sin embargo, no se manifestaron intenciones de extorsión durante los primeros años de operaciones de NICKEL TAPESTRY", afirmó Kern. "La desesperación económica, el nivel de acceso a datos confidenciales y el valor/prosperidad de una identidad falsa de larga data pueden influir en las motivaciones del actor de amenazas como empleado fraudulento".
"Las organizaciones [deberían] establecer procedimientos mejorados de verificación de identidad como parte de su proceso de entrevistas", afirmó Sophos. "El personal de recursos humanos y los reclutadores deben recibir información actualizada periódicamente sobre las tácticas utilizadas en estas campañas para ayudarles a identificar a posibles trabajadores de TI norcoreanos fraudulentos".
Además, las organizaciones deben monitorear la actividad tradicional de amenazas internas, el uso sospechoso de herramientas legítimas y las alertas de viaje imposibles para detectar actividades que suelen estar asociadas con trabajadores fraudulentos.
(El artículo se actualizó tras su publicación el 14 de mayo de 2025 para incluir información adicional compartida por Sophos).