Los actores de amenaza vinculados a Corea del Finalidad detrás de la entrevista contagiosa se han establecido en las compañías de primera instancia como una forma de distribuir malware durante el proceso de contratación impostor.
“En esta nueva campaña, el conjunto de actores de amenazas está utilizando tres compañías frontales en la industria de consultoría de criptomonedas: BLOCKNOVAS LLC (blocknovas (.) Com), Angeloper Agency (Angeloper (.) Com) y SoftGlide LLC (SoftGlide (.) CO) para difundir el malware a través de ‘Lures de entrevista de trabajo”, dijo Silent Push en un exploración de bendeo profundo.
La actividad, dijo la compañía de seguridad cibernética, se está utilizando para distribuir tres familias de malware conocidas diferentes, Beavertail, InvisibleFerret y Ottercookie.
La entrevista contagiosa es una de las diversas campañas de ingeniería social con tema de trabajo orquestadas por Corea del Finalidad para atraer objetivos a descargar malware multiplataforma con el pretexto de la asignación de codificación o solucionar un problema con su navegador cuando se excursión en la cámara durante una evaluación de video.
La actividad es rastreada por la comunidad de ciberseguridad más amplia bajo los apodos CL-STA-0240, DeceptivedEbper, Dev#Popper, Famosa Chollima, UNC5342 y Void Dokkaebi.
El uso de compañías frontales para la propagación de malware, complementado con las cuentas fraudulentas en Facebook, LinkedIn, Pinterest, X, Medium, Github y Gitlab, marca una nueva ascenso para los actores de amenaza, que se han observado utilizando varias placas de trabajo para atraer a las víctimas.
“La compañía del frente de Blocknovas tiene 14 personas que supuestamente trabajan para ellos, sin retención, muchas de las personas de los empleados (…) parecen ser falsas”, dijo Silent Push. “Al ver la página ‘Acerca de nosotros’ de Blocknovas (.) Com a través de la máquina Wayback, el conjunto afirmó sobrevenir estado operando para ’12+ abriles ‘, que es 11 abriles más prolongado de lo que el negocio ha sido registrado”.
Los ataques conducen a la implementación de un robador y cargador de JavaScript llamado Beaverail, que luego se usa para soltar una puerta trasera de Python denominada Invisibleferret que puede establecer la persistencia en los hosts de Windows, Linux y MacOS. Asimismo se ha contrario que las cadenas de infección seleccionadas sirven a otro OtterCookie con nombre en código de malware a través de la misma carga útil de JavaScript utilizada para iniciar Beaverail.
Se ha observado blocknovas utilizando evaluaciones de video para distribuir Frostyferret y Golangghost utilizando señuelos relacionados con ClickFix, una táctica que sekoia detalló a principios de este mes, que está rastreando la actividad bajo la entrevista de ClickFake de nombre.
Beaverail está configurado para contactar a un servidor forastero (“Lianxinxiao (.) Com”) para el comando y control (C2) para servir a InvisibleFerret como la carga útil de seguimiento. Viene con varias características para cosechar información del sistema, iniciar un shell inverso, descargar módulos adicionales para robar datos, archivos del navegador e iniciar la instalación del software de paso remoto Anydesk.
Un exploración posterior de la infraestructura maliciosa ha revelado la presencia de un “tablero de estado” alojado en uno de los subdominios de Blocknovas para proseguir la visibilidad en cuatro de sus dominios: Lianxinxiao (.) Com, Angeloperonline (.) En trayecto y SoftGlide (.) Co.
Asimismo se ha contrario que un subdominio separado, Mail.Blocknovas (.) Com dominio, está alojando un sistema de administración de cracking de contraseña distribuido de código amplio llamado Hashtopolis. Las unidades de quinta falsas han llevado a al menos un desarrollador que obtiene su billetera Metamask supuestamente comprometida en septiembre de 2024.
Eso no es todo. Los actores de amenaza todavía parecen estar alojando una aparejo emplazamiento Kryptoneer en el dominio Attisscmo (.) Com que ofrece la capacidad de conectarse a billeteras de criptomonedas como Suiet Wallet, Ethos Wallet y Sui Wallet.
“Es posible que los actores de amenaza de Corea del Finalidad hayan hecho esfuerzos adicionales para atacar a la dependencia de bloques Sui, o este dominio se puede usar en el interior de los procesos de solicitud de empleo como un ejemplo del ‘Esquema Crypto’ en el que se está trabajando”, dijo Silent Push.
Blocknovas, según un crónica independiente publicado por Trend Micro, todavía anunció en diciembre de 2024 un puesto amplio para un ingeniero de software senior en LinkedIn, específicamente dirigido a profesionales de TI ucranianos.
Al 23 de abril de 2025, el dominio de Blocknovas ha sido incautado por la Oficina Federal de Investigación de los Estados Unidos (FBI) como parte de una influencia de aplicación de la ley contra los actores cibernéticos de Corea del Finalidad por usarlo para “engañar a las personas con ofertas de trabajo falsas y distribuir malware”.
Adicionalmente de usar servicios como Astrill VPN y representantes residenciales para ofuscar su infraestructura y actividades, un aspecto sobresaliente de la actividad maliciosa es el uso de herramientas de inteligencia fabricado (IA) como Remaker para crear imágenes de perfil.
La compañía de seguridad cibernética, en su exploración de la campaña de entrevistas contagiosa, dijo que identificó cinco rangos de propiedad intelectual rusa que se han utilizado para transigir a punta la operación. Estas direcciones IP están oscurecidas por una capa VPN, una capa proxy o una capa RDP.
“Los rangos de dirección IP rusos, que están ocultos por una gran red de anonimización que utiliza servicios VPN comerciales, servidores proxy y numerosos servidores VPS con RDP, se asignan a dos compañías en Khasan y Khabarovsk”, dijeron los investigadores de seguridad Feike Hacquebord y Stephen Hilt.
“Khasan está a una milla de la frontera de Corea del Finalidad-Rusia, y Khabarovsk es conocido por sus lazos económicos y culturales con Corea del Finalidad”.
Si la entrevista contagiosa es un banda de la moneda, el otro es la amenaza de trabajadores de TI fraudulenta conocida como Wagemole, que se refiere a una táctica que implica elaborar personajes falsos que usan IA para que sus trabajadores de TI se contraten de forma remota como empleados en las principales empresas.
Estos esfuerzos tienen doble motivaciones, diseñadas para robar datos confidenciales y perseguir ganancias financieras al canalizar una parte de los salarios mensuales a la República Popular Democrática de Corea (RPDC).
“Los facilitadores ahora están utilizando herramientas basadas en Genai para optimizar cada paso en el proceso de aplicación y entrevista para roles y para ayudar a los ciudadanos de la RPDC que intentan proseguir este empleo”, dijo Okta.
“Estos servicios mejorados por Genai son necesarios para cuidar la programación de entrevistas de trabajo con múltiples personajes candidatos de RPDC por un pequeño cuadro de facilitadores. Estos servicios usan Genai en todo, desde herramientas que transcriben o síntesis conversaciones, hasta traducción en tiempo actual de voz y texto”.
Los datos de telemetría recopilados por Trend Micro señala a los actores de amenaza alineados por Pyongyang que trabajan desde China, Rusia y Pakistán, mientras usan los rangos de IP rusos para conectarse con docenas de servidores VPS a través de RDP y luego realizar tareas como interactuar en sitios de quinta de empleo y aceptar a los servicios relacionados con las criptripúrceles.
“Transmitido que una parte significativa de las capas más profundas de la red de anonimización de los actores norcoreanos está en Rusia, es plausible, con herido confianza, que existe alguna forma de cooperación intencional o intercambio de infraestructuras entre Corea del Finalidad y las entidades rusas”, dijo la compañía.
