Se han identificado hasta 3.136 direcciones IP individuales vinculadas a posibles objetivos de la actividad de Entrevista Contagiosa, y la campaña afirma que 20 organizaciones víctimas potenciales abarcan sectores de inteligencia fabricado (IA), criptomonedas, servicios financieros, servicios de TI, marketing y mejora de software en Europa, el sur de Asia, Medio Oriente y América Central.
Los nuevos hallazgos provienen de Insikt Group de Recorded Future, que está rastreando el liga de actividad de amenazas de Corea del Septentrión bajo el nombre PúrpuraBravo. La campaña, documentada por primera vez a finales de 2023, incluso se conoce como CL-STA-0240, DeceivedDevelopment, DEV#POPPER, Famous Chollima, Gwisin Gang, Tenacious Pungsan, UNC5342, Void Dokkaebi y WaterPlum.
Se estima que las 3.136 direcciones IP individuales, concentradas principalmente en el sur de Asia y América del Septentrión, fueron atacadas por el adversario desde agosto de 2024 hasta septiembre de 2025. Se dice que las 20 empresas víctimas tienen su sede en Bélgica, Bulgaria, Costa Rica, India, Italia, Países Bajos, Pakistán, Rumania, Emiratos Árabes Unidos (EAU) y Vietnam.
“En varios casos, es probable que los candidatos que buscaban empleo ejecutaran código receloso en dispositivos corporativos, creando exposición organizacional más allá del objetivo individual”, dijo la firma de inteligencia de amenazas en un nuevo noticia compartido con The Hacker News.
La divulgación se produce un día posteriormente de que Jamf Threat Labs detallara una iteración significativa de la campaña Contagious Interview en la que los atacantes abusan de proyectos maliciosos de Microsoft Visual Studio Code (VS Code) como vector de ataque para distribuir una puerta trasera, lo que subraya la explotación continua de los flujos de trabajo de los desarrolladores confiables para ganar sus objetivos mancuernas de ciberespionaje y robo financiero.
La compañía propiedad de Mastercard dijo que detectó cuatro personas de LinkedIn potencialmente asociadas con PurpleBravo que se hicieron ocurrir por desarrolladores y reclutadores y afirmaron ser de la ciudad ucraniana de Odesa, pegado con varios repositorios maliciosos de GitHub que están diseñados para distribuir familias de malware conocidas como BeaverTail.
Asimismo se ha observado que PurpleBravo administra dos conjuntos distintos de servidores de comando y control (C2) para BeaverTail, un cargador y bandido de información de JavaScript, y una puerta trasera basada en Go conocida como GolangGhost (incluso conocida como FlexibleFerret o WeaselStore) que se base en la útil de código hendido HackBrowserData.
Los servidores C2, alojados en 17 proveedores diferentes, se administran a través de Astrill VPN y desde rangos de IP en China. El uso de Astrill VPN por parte de los actores de amenazas norcoreanos en ataques cibernéticos ha sido adecuadamente documentado a lo grande de los abriles.
Vale la pena señalar que Contagious Interview complementa una segunda campaña separada denominada Wagemole (incluso conocida como PurpleDelta), donde los trabajadores de TI de los actores del Reino Ermitaño buscan empleo no facultado bajo identidades fraudulentas o robadas en organizaciones con sede en los EE. UU. y otras partes del mundo para obtener ganancias financieras y espionaje.
Si adecuadamente los dos grupos se tratan como conjuntos dispares de actividades, existen importantes superposiciones tácticas y de infraestructura entre ellos a pesar de que la amenaza a los trabajadores de TI ha estado presente desde 2017.
“Esto incluye un probable cámara de PurpleBravo que muestra actividad consistente con el comportamiento de los trabajadores de TI de Corea del Septentrión, direcciones IP en Rusia vinculadas a trabajadores de TI de Corea del Septentrión que se comunican con los servidores PurpleBravo C2 y tráfico de sucursal desde la misma dirección IP de Astrill VPN asociada con la actividad de PurpleDelta”, dijo Recorded Future.
Para empeorar las cosas, se ha descubierto que los candidatos a los que PurpleBravo se acerca con ofertas de trabajo ficticias realizan la evaluación de codificación en dispositivos proporcionados por la empresa, comprometiendo efectivamente a sus empleadores en el proceso. Esto pone de relieve que la sujeción de suministro de software de TI es “igual de indefenso” a la infiltración de adversarios norcoreanos distintos de los trabajadores de TI.
“Muchas de estas organizaciones (víctimas potenciales) anuncian grandes bases de clientes, lo que presenta un tranquilo aventura en la sujeción de suministro para las empresas que subcontratan trabajo en estas regiones”, señaló la empresa. “Si adecuadamente la amenaza al empleo de los trabajadores de TI de Corea del Septentrión ha sido ampliamente publicitada, el aventura de la sujeción de suministro de PurpleBravo merece la misma atención para que las organizaciones puedan prepararse, defender y alertar la fuga de datos confidenciales a los actores de amenazas de Corea del Septentrión”.
