El robo de criptomonedas sigue siendo uno de los motores más rentables para los grupos de ciberamenazas y Corea del Norte ha vuelto a situarse en el centro de la escena. Durante la conferencia anual Virus Bulletin (VB), ESET Research presentó nuevos hallazgos sobre DeceptiveDevelopment, también conocido como Contagious Interview, un actor que ha perfeccionado sus métodos para engañar a desarrolladores freelance y apropiarse de sus activos digitales.
El informe explica que este grupo, activo al menos desde 2023, ha evolucionado desde el uso de malware básico a la construcción de toolkits más elaborados, aunque siempre con un patrón común: un uso intensivo de la ingeniería social. La táctica principal consiste en crear perfiles de reclutadores falsos en plataformas como LinkedIn, Upwork o Crypto Jobs List y ofrecer entrevistas laborales ficticias a profesionales del sector de la criptografía y Web3.
“Los individuos detrás de estas actividades sacrifican un alto nivel de sofisticación técnica a cambio de una amplia escala operativa y una ingeniería social altamente creativa. Su malware es en su mayoría simple, y aun así logran engañar incluso a objetivos con sólidos conocimientos técnicos”, explica Peter Kálnai, investigador de ESET y coautor del informe.
El método ClickFix y la distribución de malware
El engaño se articula en varias fases. Primero, los atacantes atraen a las víctimas con ofertas de trabajo atractivas y procesos de selección aparentemente legítimos. Una vez conseguido su interés, les piden participar en una prueba técnica: un reto de programación que, en realidad, incluye fragmentos de código troyanizado.
El paso definitivo llega con la técnica conocida como ClickFix. Tras solicitar a los candidatos que participen en una videollamada, la página muestra un supuesto error de cámara o micrófono y ofrece un enlace “para solucionarlo”. El candidato recibe instrucciones para copiar un comando en la terminal de su ordenador, convencido de que se trata de un ajuste menor. Sin embargo, ese comando descarga e instala un malware que da acceso al sistema.
El robo de criptomonedas sigue siendo uno de los motores más rentables para los grupos de ciberamenazas y Corea del Norte ha vuelto a situarse en el centro de la escena
Las herramientas detectadas con mayor frecuencia en estas campañas incluyen infostealers como BeaverTail, OtterCookie y WeaselStore, además del RAT modular InvisibleFerret, que permite mantener el control de la máquina a distancia. Según ESET, el grupo también ha desarrollado nuevos kits, como TsunamiKit, que documentan incluso la API de sus servidores de mando y control.
Conexiones con Lazarus y la dimensión laboral
El análisis técnico no se queda en las cargas maliciosas. El informe subraya que DeceptiveDevelopment mantiene conexiones con Lazarus, el histórico grupo norcoreano detrás de algunos de los ciberataques más lucrativos de la última década. El backdoor Tropidoor y el RAT PostNapTea comparten vínculos directos en su código, lo que refuerza la hipótesis de colaboración o, al menos, de reutilización de herramientas entre grupos.
Pero lo más inquietante es la dimensión laboral del esquema. ESET, a partir de datos de inteligencia de fuentes abiertas (OSINT), ha identificado la participación de trabajadores de TI norcoreanos que buscan empleo remoto en el extranjero desde hace más de un lustro. Sus CVs y fotos de perfil suelen estar manipulados con inteligencia artificial y, en algunos casos, llegan a usar técnicas de “cambio de rostro en tiempo real” durante entrevistas por videollamada.
El FBI ya había advertido de este fenómeno en 2017 y en varios avisos posteriores, alertando de que estos empleados fraudulentos no solo canalizan sus salarios hacia el régimen de Pyongyang, sino que también aprovechan su acceso para robar información corporativa y extorsionar a empresas.
Europa en el punto de mira
Si bien Estados Unidos ha sido tradicionalmente el principal objetivo, los últimos datos de ESET muestran un viraje hacia Europa. Países como Francia, Polonia, Ucrania o Albania se han convertido en nuevos focos de interés para los atacantes, probablemente debido a la creciente adopción de proyectos blockchain y startups Web3 en la región.
La combinación de técnicas de ingeniería social, entrevistas simuladas y software malicioso convierte a DeceptiveDevelopment en una amenaza híbrida, capaz de operar tanto en el ámbito del ciberdelito como en el del fraude laboral. “Este esquema combina operaciones criminales clásicas, como el robo de identidad y el fraude de identidad sintética, con herramientas digitales, lo que lo clasifica tanto como un delito tradicional como un ciberdelito”, añade Kálnai.
Riesgos y recomendaciones
El riesgo no solo afecta a los desarrolladores independientes. Las empresas que contratan trabajadores freelance también pueden convertirse en víctimas indirectas, al dar acceso a personas que en realidad actúan como proxy para el régimen norcoreano. El uso de cuentas comprometidas en videoconferencias y la práctica del “proxy interviewing” elevan aún más el nivel de amenaza.
Para reducir la exposición, ESET recomienda que los equipos de contratación verifiquen de forma rigurosa la identidad de los candidatos, que los desarrolladores ejecuten cualquier prueba técnica en entornos aislados y que se refuercen los procesos de educación en ingeniería social dentro de las organizaciones. La clave, insisten, es asumir que el vector humano seguirá siendo el principal objetivo de los atacantes.
