Se ha observado que los actores de amenaza con lazos con la República Popular Democrática de Corea (incluso conocida como DPRK o Corea del Meta) aprovechan señuelos de estilo ClickFix para entregar un malware conocido llamado Beaverail e InvisibleFerret.
“El actor de amenazas utilizó señuelos de ClickFix para apuntar a los roles de marketing y comerciantes en las organizaciones de criptomonedas y sectores minoristas en emplazamiento de apuntar a roles de exposición de software”, dijo el investigador de inteligencia de amenazas de Gitlab, Oliver Smith, en un crónica publicado la semana pasada.
Palo Parada Networks expuesto por primera vez a fines de 2023, Beaverail e Invisibleferret han sido desplegados por los agentes de Corea del Meta como parte de una campaña de larga duración denominada entrevista contagiosa (incluso conocida como Gwisin Gang), en la que el malware se distribuye a desarrolladores de software bajo el pretexto de una evaluación de empleo. Evaluado como un subconjunto del orden paraguas Lázaro, el clúster ha estado activo desde al menos diciembre de 2022.
A lo espléndido de los abriles, Beaverail incluso se ha propagado a través de paquetes de NPM falsos y aplicaciones fraudulentas de videoconferencia de Windows como FCCCall y FreeConference. Escrito en JavaScript, el malware actúa como un robador de información y un descargador para una puerta trasera con sede en Python conocida como InvisibleFerret.
Una cambio importante de la campaña implica el uso de la táctica de ingeniería social de ClickFix para entregar malware como Golangghost, Pylangghost y Flexibleferret, un subgrupo de actividad rastreada como entrevista de ClickFake.
Vale la pena resaltar la última ola de ataque, observada a fines de mayo de 2025, por dos razones: consumir ClickFix para entregar Beavertail (en emplazamiento de Golangghost o FlexibleFerret) y entregar el robador en forma de un binario compilado producido usando herramientas como PKG y Pyinstaller para Windows, MacOS y sistemas Linux.
Una aplicación web de plataforma de contratación falsa creada con VERCEL sirve como un vector de distribución para el malware, con el actor de amenazas que anuncia el comerciante de criptomonedas, las ventas y los roles de marketing en varias organizaciones Web3, así como para instar a los objetivos a modificar en una empresa Web3.
“La orientación del actor de amenaza de los solicitantes de marketing y la suplantación de una estructura del sector minorista es extraordinario transmitido el enfoque habitual de los distribuidores de Beaverail en los desarrolladores de software y el sector de criptomonedas”, dijo Smith.
Los usuarios que aterrizan en el sitio tienen sus direcciones IP públicas capturadas y tienen instrucciones de completar una evaluación de video de sí mismos, momento en el cual se muestra un error técnico mentiroso sobre un problema de micrófono inexistente y se les pide a un comando específico del sistema activo para que supuestamente aborde el problema, lo que conduce a la implementación de una interpretación más flaca de BeaTrainail, ya sea por medias de un script o script visual principal.
“La cambio Beaverail asociada con esta campaña contiene una rutina de robador de información simplificada y se dirige a menos extensiones del navegador”, dijo Gitlab. “La cambio se dirige solo a ocho extensiones del navegador en emplazamiento de las 22 dirigidas a otras variantes contemporáneas de Beavertail”.
Otra omisión importante es la asesinato de funciones relacionadas con el robo de datos de navegadores web que no sean Google Chrome. Todavía se ha incompatible que la interpretación de Windows de Beaverail se basamento en un archivo protegido con contraseña enviado unido con el malware para cargar dependencias de Python relacionadas con InvisibleFerret.
Si admisiblemente los archivos protegidos con contraseña son una técnica conveniente popular que varios actores de amenazas han recogido durante algún tiempo, esta es la primera vez que el método se utiliza para la entrega de carga útil en relación con Beaverail, lo que indica que los actores de amenaza están refinando activamente sus cadenas de ataque.
Por otra parte, la herido prevalencia de artefactos secundarios en la naturaleza y la abandono de delicadeza de ingeniería social sugieren que la campaña puede tener sido una prueba limitada y poco probable que se desplieguen a escalera.
“La campaña sugiere un irreflexivo cambio táctico para un subgrupo de operadores de Beavertail de Corea del Meta, expandiéndose más allá de su desarrollador de software tradicional dirigido a perseguir roles de marketing y comercio en los sectores minoristas y de criptomonedas”, dijo Gitlab. “El movimiento a las variantes de malware compiladas y la dependencia continua de las técnicas de ClickFix demuestra una acomodo operativa para alcanzar los objetivos y sistemas menos técnicos sin herramientas de exposición de software habitual instaladas”.
El exposición se produce como una investigación conjunta de Sentinelone, Sentinellabs y Validin descubrieron que al menos 230 individuos han sido atacados por la contagiosa campaña de entrevistas en ataques de entrevistas de trabajo de criptomonedas falsas entre enero y marzo de 2025 por compañías personificantes como Archblock, Robinhood y Etoro.
Esta campaña esencialmente involucrada utilizando temas de ClickFix para distribuir aplicaciones de nodo desconfiado.js denominado ContagiousDrop diseñado para implementar malware disfrazado de actualizaciones o utilidades esenciales. La carga útil se adapta al sistema activo de la víctima y a la construcción del sistema. Todavía es capaz de catalogarse de las actividades de las víctimas y provocar una alerta de correo electrónico cuando el individuo afectado comienza la evaluación de habilidades falsas.
“Esta actividad (…) involucró a los actores de amenaza que examinaron la información de inteligencia de amenazas cibernéticas (CTI) relacionada con su infraestructura”, señalaron las compañías, y agregaron a los atacantes involucrados en un esfuerzo coordinado para evaluar una nueva infraestructura ayer de la adquisición, así como el monitoreo de los signos de detección de su actividad a través de la válida, la virustatal y el maltail.
La información obtenida de tales esfuerzos está destinada a mejorar la resiliencia y la efectividad de sus campañas, así como implementar rápidamente una nueva infraestructura a posteriori de los derribos de proveedores de servicios, lo que refleja un enfoque en modificar bienes para persistir sus operaciones en emplazamiento de promulgar amplios cambios para reforzar su infraestructura existente.
“Entregado el éxito continuo de sus campañas en objetivos interesantes, puede ser más pragmático y válido para los actores de amenaza desplegar una nueva infraestructura en emplazamiento de persistir los activos existentes”, dijeron los investigadores. “Los posibles factores internos, como las estructuras de comando descentralizadas o las restricciones de bienes operativos, pueden restringir su capacidad para implementar rápidamente cambios coordinados”.
“Su logística operativa parece priorizar rápidamente el reemplazo de la infraestructura perdida conveniente a los esfuerzos de asesinato por parte de los proveedores de servicios, utilizando infraestructura recientemente aprovisionada para persistir su actividad”.
Los piratas informáticos de Corea del Meta tienen una larga historia de intentar reunir la inteligencia de amenazas para promover sus operaciones. Ya en 2021, Google y Microsoft revelaron que los piratas informáticos respaldados por Pyongyang se dirigieron a investigadores de seguridad que trabajan en la investigación y el exposición de vulnerabilidades utilizando una red de blogs falsos y cuentas de redes sociales para robar hazañas.
Luego, el año pasado, Sentinelone advirtió sobre una campaña realizada por Scorcruft (incluso conocido como APT37) dirigida a los consumidores de informes de inteligencia de amenazas con informes técnicos falsos como señuelos para entregar Rokrat, una puerta trasera escrita personalizada utilizada exclusivamente por el Montón de Amenazas Corea del Meta.
Sin confiscación, las recientes campañas de escorruct han sido testigos de una especie de desviación, dando el paso inusual de infectar objetivos con ransomware VCD personalizado, unido con un articulación de herramientas en cambio que comprende robadores y traseros Chillychino (incluso conocidos como Rustonotto) y FadesteSeer. Un implante basado en el óxido, Chillychino es una nueva añadidura al Conjunto del actor de amenaza de junio de 2025. Todavía es la primera instancia conocida de APT37 que utiliza un malware basado en óxido para apuntar a los sistemas Windows.
Fadestealer, por otro costado, es una útil de vigilancia identificada por primera vez en 2023 que está equipada para registrar las teclas de registro, capturar capturas de pantalla y audio, rastrear dispositivos y medios extraíbles, y exfiltrar datos a través de archivos de RAR protegidos con contraseña. Aprovecha la codificación HTTP Post y Base64 para la comunicación con su servidor de comando y control (C2).
La prisión de ataque, según ZScaler Threatlabz, implica el uso de mensajes de phishing de vara para distribuir archivos ZIP que contienen accesos directos de Windows (LNK) o archivos de ayuda (CHM) que dejan caer ChillyChino o su homólogo de PowerShell conocido, que luego se comunica con el servidor C2 para recuperar una carga útil de la próxima etapa responsable para el emanación del arrojador.
“El descubrimiento de ransomware marca un cambio significativo de las operaciones de espionaje puro alrededor de una actividad potencialmente motivada y potencialmente destructiva”, dijo S2W. “Esta cambio destaca no solo la diversificación eficaz sino incluso un realineamiento decisivo más amplio en los objetivos del orden”.
Nuevas campañas de Kimsuky expuestas
Los hallazgos incluso se producen cuando el Montón de piratería Kimsuky (incluso conocido como APT43) seguidor en Corea del Meta, que supuestamente sufrió una violación, probablemente exponiendo las tácticas y herramientas de un actor con sede en China que trabaja para el reino ermita exfiltración.
“El actor de amenaza aprovechó un archivo LNK desconfiado (presente internamente de ZIP Archives) para descargar y ejecutar scripts adicionales basados en PowerShell de un repositorio de GitHub”, dijo S2W. “Para ceder al repositorio, el atacante incrustó un token privado GitHub codificado directamente internamente del raya”.
El script PowerShell recuperado del repositorio viene equipado con capacidades para compilar metadatos del sistema, incluidos los últimos tiempos de puesta en marcha, configuración del sistema y procesos de ejecución; Escriba la información en un archivo de registro; y subirlo al repositorio controlado por el atacante. Todavía descarga un documento de señuelo para evitar desarrollar cualquier sospecha.
Entregado el uso de la infraestructura confiable para fines maliciosos, se aconseja a los usuarios que controlen el tráfico a api.github.com y la creación de tareas sospechosas programadas, lo que indica persistencia.
La segunda campaña vinculada a Kimsuky se refiere al exageración del chatgpt de OpenAi de forjar tarjetas de identificación marcial de Deepfake en una campaña de phishing de vara contra entidades afiliadas a la defensa de Corea del Sur y otras personas centradas en asuntos de Corea del Meta, como investigadores, activistas de derechos humanos y periodistas.
Los correos electrónicos de phishing utilizando el señuelo de la ID de ID marcial se observaron el 17 de julio de 2025, luego de una serie de campañas de phishing basadas en ClickFix entre el 12 y el 18 de junio, allanando el camino para el malware que facilita el robo de datos y el control remoto.
Se ha incompatible que la prisión de infección en varias etapas emplea páginas de comprobación Captcha similares a ClickFix para implementar un script inevitable que se conecta a un servidor extranjero para ejecutar comandos de archivos por lotes emitidos por el atacante, la compañía de seguridad cibernética de Corea del Sur, dijo Genians en un crónica publicado la semana pasada.
Alternativamente, el estallido de ataques recientes incluso se ha basado en mensajes de correo electrónico falsos para redirigir a los usuarios a los usuarios a las páginas de monasterio de credenciales, así como dirigir mensajes con enlaces atrapados bancados que, cuando se hacen clic, descargan un archivo zip que contiene un archivo LNK, que, a su vez, ejecuta un comando de powerShell a las imágenes sintéticas creadas con el script de Chatgpt y el mismo.
“Esto se clasificó como un ataque adecuado que se hace advenir por una institución relacionada con la defensa de Corea del Sur, disfrazada de que manejaba tareas de difusión de identificación para funcionarios afiliados a los militares”, dijo Genians. “Este es un caso positivo que demuestra la aplicación del orden Kimsuky de la tecnología Deepfake”.
