Se han identificado hasta 3.136 direcciones IP individuales vinculadas a posibles objetivos de la actividad de Entrevista Contagiosa, y la campaña afirma que 20 organizaciones víctimas potenciales abarcan sectores de inteligencia artificial (IA), criptomonedas, servicios financieros, servicios de TI, marketing y desarrollo de software en Europa, el sur de Asia, Medio Oriente y América Central.
Los nuevos hallazgos provienen de Insikt Group de Recorded Future, que está rastreando el grupo de actividad de amenazas de Corea del Norte bajo el nombre PúrpuraBravo. La campaña, documentada por primera vez a finales de 2023, también se conoce como CL-STA-0240, DeceivedDevelopment, DEV#POPPER, Famous Chollima, Gwisin Gang, Tenacious Pungsan, UNC5342, Void Dokkaebi y WaterPlum.
Se estima que las 3.136 direcciones IP individuales, concentradas principalmente en el sur de Asia y América del Norte, fueron atacadas por el adversario desde agosto de 2024 hasta septiembre de 2025. Se dice que las 20 empresas víctimas tienen su sede en Bélgica, Bulgaria, Costa Rica, India, Italia, Países Bajos, Pakistán, Rumania, Emiratos Árabes Unidos (EAU) y Vietnam.
«En varios casos, es probable que los candidatos que buscaban empleo ejecutaran código malicioso en dispositivos corporativos, creando exposición organizacional más allá del objetivo individual», dijo la firma de inteligencia de amenazas en un nuevo informe compartido con The Hacker News.
La divulgación se produce un día después de que Jamf Threat Labs detallara una iteración significativa de la campaña Contagious Interview en la que los atacantes abusan de proyectos maliciosos de Microsoft Visual Studio Code (VS Code) como vector de ataque para distribuir una puerta trasera, lo que subraya la explotación continua de los flujos de trabajo de los desarrolladores confiables para lograr sus objetivos gemelos de ciberespionaje y robo financiero.
La compañía propiedad de Mastercard dijo que detectó cuatro personas de LinkedIn potencialmente asociadas con PurpleBravo que se hicieron pasar por desarrolladores y reclutadores y afirmaron ser de la ciudad ucraniana de Odesa, junto con varios repositorios maliciosos de GitHub que están diseñados para distribuir familias de malware conocidas como BeaverTail.
También se ha observado que PurpleBravo administra dos conjuntos distintos de servidores de comando y control (C2) para BeaverTail, un cargador y ladrón de información de JavaScript, y una puerta trasera basada en Go conocida como GolangGhost (también conocida como FlexibleFerret o WeaselStore) que se basa en la herramienta de código abierto HackBrowserData.
Los servidores C2, alojados en 17 proveedores diferentes, se administran a través de Astrill VPN y desde rangos de IP en China. El uso de Astrill VPN por parte de los actores de amenazas norcoreanos en ataques cibernéticos ha sido bien documentado a lo largo de los años.
Vale la pena señalar que Contagious Interview complementa una segunda campaña separada denominada Wagemole (también conocida como PurpleDelta), donde los trabajadores de TI de los actores del Reino Ermitaño buscan empleo no autorizado bajo identidades fraudulentas o robadas en organizaciones con sede en los EE. UU. y otras partes del mundo para obtener ganancias financieras y espionaje.
Si bien los dos grupos se tratan como conjuntos dispares de actividades, existen importantes superposiciones tácticas y de infraestructura entre ellos a pesar de que la amenaza a los trabajadores de TI ha estado presente desde 2017.
«Esto incluye un probable operador de PurpleBravo que muestra actividad consistente con el comportamiento de los trabajadores de TI de Corea del Norte, direcciones IP en Rusia vinculadas a trabajadores de TI de Corea del Norte que se comunican con los servidores PurpleBravo C2 y tráfico de administración desde la misma dirección IP de Astrill VPN asociada con la actividad de PurpleDelta», dijo Recorded Future.
Para empeorar las cosas, se ha descubierto que los candidatos a los que PurpleBravo se acerca con ofertas de trabajo ficticias realizan la evaluación de codificación en dispositivos proporcionados por la empresa, comprometiendo efectivamente a sus empleadores en el proceso. Esto pone de relieve que la cadena de suministro de software de TI es «igual de vulnerable» a la infiltración de adversarios norcoreanos distintos de los trabajadores de TI.
«Muchas de estas organizaciones (víctimas potenciales) anuncian grandes bases de clientes, lo que presenta un grave riesgo en la cadena de suministro para las empresas que subcontratan trabajo en estas regiones», señaló la empresa. «Si bien la amenaza al empleo de los trabajadores de TI de Corea del Norte ha sido ampliamente publicitada, el riesgo de la cadena de suministro de PurpleBravo merece la misma atención para que las organizaciones puedan prepararse, defender y prevenir la fuga de datos confidenciales a los actores de amenazas de Corea del Norte».