Los actores de amenaza vinculados a Corea del Norte asociados con la campaña de entrevistas contagiosas se han atribuido a una puerta trasera previamente indocumentada llamada Akdoortea, junto con herramientas como Tsunamikit y Tropidoor.
La firma de ciberseguridad eslovacia Eset, que está rastreando la actividad bajo el nombre de DeceptivedErarrelo, dijo que la campaña se dirige a los desarrolladores de software en todos los sistemas operativos, Windows, Linux y MacOS, particularmente aquellos involucrados en proyectos de criptomonedas y Web3. También se conoce como Dev#Popper, famosa Chollima, Gwisin Gang, Tenacious Pungsan, UNC5342 y Void Dokkaebi.
«El conjunto de herramientas de DecepedEvelopment es principalmente multiplataforma y consiste en scripts maliciosos ofuscos iniciales en Python y Javascript, Backdoors básicos en Python and Go, y un proyecto web oscuro en .NET», los investigadores de ESET Peter Kálnai y Matěj Havránk dijeron en un informe compartido con las noticias de piratas informáticos.
La campaña involucra esencialmente a los reclutadores personificados que ofrecen lo que parecen ser roles de trabajo lucrativos sobre plataformas como LinkedIn, Upwork, Freelancer y Crypto Jobs List. Después de la divulgación inicial, si el posible objetivo expresa interés en la oportunidad, se les pide que completen una evaluación de video haciendo clic en un enlace o un ejercicio de codificación.
La asignación de programación requiere que clonen proyectos alojados en GitHub, que instala silenciosamente malware. Por otro lado, los sitios web se configuran explícitamente para realizar la llamada evaluación de video que muestra errores inexistentes relacionados con el acceso a la cámara o el acceso micrófono que se bloquean, y los insta a seguir las instrucciones al estilo de ClickFix para rectificar el problema al iniciar el símbolo del sistema o la aplicación terminal, dependiendo del sistema operativo utilizado.
Independientemente del método empleado, se ha encontrado que los ataques entregan varias piezas de malware, como Beavertail, InvisibleFerret, Ottercookie, Golangghost (también conocido como FlexibleFerret o Weaselstore) y Pylangghost.
«La funcionalidad de WeaselStore es bastante similar tanto a Beaverail como a Invisibleferret, con el enfoque principal que se exfiltración de datos confidenciales de navegadores y billeteras de criptomonedas», dijo Eset. «Una vez que los datos han sido exfiltrados, WeaselStore, a diferencia de los infantes de infantes de infancia tradicionales, continúa comunicándose con su servidor C&C (comando y control), sirviendo como una rata capaz de ejecutar varios comandos».
También se implementan como parte de estas secuencias de infección Tsunamikit y Tropidoor, el primero de los cuales es un conjunto de herramientas de malware entregado por InvisibleFerret y está diseñado para obtener información y robo de criptomonedas. El uso de Tsunamikit se descubrió por primera vez en noviembre de 2024.
El conjunto de herramientas comprende varios componentes, el punto de partida es la etapa inicial Tsunamiloader que desencadena la ejecución de un inyector (tsunamiinjector), que, a su vez, deja caer Tsunamiinstaller y Tsunamihardener.
Mientras que TsunamiInstaller actúa como un gotero para TsunamicLientinstaller, que luego descarga y ejecuta Tsunamiclient, Tsunamihardener es responsable de configurar la persistencia para TsunamicLient, así como configurar las exclusiones de defensa de Microsoft. TsunamicLient es el módulo central que incorpora un spyware .NET y deja caer mineros de criptomonedas como XMRIG y NBMiner.
Se cree que Tsunamikit es probablemente una modificación de un proyecto web oscuro en lugar de una creación nativa del actor de amenaza, dado que las muestras relacionadas con el juego de herramientas se han descubierto que data de diciembre de 2021, anterior a la aparición de la entrevista contagiosa, que se cree que comenzó a fines de 2022.
También se ha descubierto que el robador y descargador de Beaverail actúan como un vehículo de distribución para otro malware conocido como Tropidoor que, según ASEC, se superpone con una herramienta de grupo Lázaro llamada LightlessCan. Eset dijo que encontró evidencia de artefactos de Tropidoor cargados en Virustotal desde Kenia, Colombia y Canadá, y agregó que el malware también comparte «grandes porciones de código» con Postnaptea, un malware utilizado por el actor de amenazas contra los objetivos de Corea del Sur en 2022.
Postnaptea admite comandos para actualizaciones de configuración, manipulación de archivos y captura de pantalla, administración de sistemas de archivos, administración de procesos y ejecución de versiones personalizadas de comandos de Windows como Whoami, NetStat, Tracert, Lookup, IPConfig y SystemInfo, entre otros, para mejorar el sigilo, una característica también presente en LightlessCan.
«Tropidoor es la carga útil más sofisticada hasta ahora vinculada al grupo de desarrollo engañado, probablemente porque se basa en malware desarrollado por los actores de amenaza más avanzados técnicamente bajo el paraguas de Lazarus», dijo Eset.
 |
| Cadena de ejecución de Weaselstore |
La última incorporación al Arsenal del actor de amenaza es un troyano de acceso remoto denominado Akdoortea que se entrega mediante un script por lotes de Windows. El script descarga un archivo zip («nvidiareLease.zip») y ejecuta un script de Visual Basic presente en él, que luego procede a lanzar cargas útiles de Beaverail y Akdoortea también contenidas en el archivo.
Vale la pena señalar que la campaña ha aprovechado las actualizaciones de controladores con temática de NVIDIA en el pasado como parte de los ataques de ClickFix para abordar los supuestos problemas de cámara o micrófono al proporcionar las evaluaciones de video, lo que indica que este enfoque se está utilizando para propagar Akdoortea.
Akdoortea obtiene su nombre del hecho de que comparte puntos en común con Akdoor, que se describe como una variante del implante Nukesped (también conocido como ManusCrypt), reforzando aún más las conexiones de la entrevista contagiosa con el paraguas del grupo Lázaro más grande.
«Los TTP de Elegro Deceptived ilustran un modelo más distribuido e impulsado por el volumen de sus operaciones. A pesar de que a menudo carece de sofisticación técnica, el grupo compensa a través de la escala y la ingeniería social creativa», dijo Eset.
«Sus campañas demuestran un enfoque pragmático, explotando herramientas de código abierto, reutilizando proyectos web oscuros disponibles, adaptando malware probablemente alquilado de otros grupos alineados por Corea del Norte y aprovechando las vulnerabilidades humanas a través de ofertas de trabajo falsas y plataformas de entrevistas».
La entrevista contagiosa no funciona en silo, ya que también se ha descubierto que comparte cierto nivel de superposiciones con el esquema de trabajadores de TI fraudulentos de Pyongyang (también conocido como Wagemole), y Zscaler señala que la inteligencia obtenida de los primeros es utilizada por los actores de Corea del Norte para asegurar trabajos en aquellas compañías que usan identidades y personas sintéticas fabricantes. Se cree que la amenaza de los trabajadores de TI ha estado en curso desde 2017.
 |
| Conexión entre la entrevista contagiosa y Wagemole |
La compañía de ciberseguridad Trellix, en un informe publicado esta semana, dijo que descubrió una instancia de un fraude de empleo de trabajadores de TI de Corea del Norte dirigido a una empresa de salud de los Estados Unidos, donde una persona que usa el nombre «Kyle Lankford» solicitó un puesto de ingeniero de software principal.
Si bien el solicitante de empleo no planteó ninguna bandera roja durante las primeras etapas del proceso de contratación, Trellix dijo que pudo correlacionar sus direcciones de correo electrónico con los conocidos indicadores de trabajadores de Corea del Norte. El análisis posterior de los intercambios de correo electrónico y las verificaciones de antecedentes identificaron al candidato como un probable operativo norcoreano, agregó.
«Las actividades de los trabajadores de TI de Corea del Norte constituyen una amenaza híbrida», señaló Eset. «Este esquema de fraude por alquiler combina operaciones criminales clásicas, como el robo de identidad y el fraude de identidad sintética, con herramientas digitales, que lo clasifican como un crimen tradicional y un delito cibernético (o delitos electrónicos)».