Los actores de amenaza de Corea del Norte detrás del Entrevista contagiosa Se ha observado una campaña utilizando versiones actualizadas de un malware multiplataforma llamado OtterCookie con capacidades para robar credenciales de los navegadores web y otros archivos.
NTT Security Holdings, que detalló los nuevos hallazgos, dijo que los atacantes han actualizado «activa y continuamente» el malware, introduciendo las versiones V3 y V4 en febrero y abril de 2025, respectivamente.
La compañía japonesa de ciberseguridad está rastreando el clúster bajo el nombre Tapón de aguaque también se conoce como CL-STA-0240, DeceptivedEvelopment, Dev#Popper, famosa Chollima, Purplebravo y Tenacious Pungsan.
Ottercookie fue documentado por primera vez por NTT el año pasado después de haberlo observado en ataques desde septiembre de 2024. Entregado por medio de una carga útil de JavaScript a través de un paquete Malicioso NPM, un apositorio de github troyanizado o un apositorio de bitbucket, o una aplicación de videoconferencias de videoconferencia de Boqued, está diseñado para contactar a un servidor externo para ejecutar los comandos de los hosts comprometidos.
Se ha encontrado que OtterCookie V3 incorpora un nuevo módulo de carga para enviar archivos que coinciden con un conjunto predefinido de extensiones al servidor externo. Esto consiste en variables de entorno, imágenes, documentos, hojas de cálculo, archivos de texto y archivos que contienen frases mnemónicas y de recuperación asociadas con billeteras de criptomonedas.
Vale la pena señalar que este módulo se ejecutó previamente en Ottercookie V2 como un comando shell recibido del servidor.
La cuarta iteración del malware se expande en su predecesor al agregar dos módulos más para robar credenciales de Google Chrome, así como extraer datos de la extensión de Metamask para Google Chrome, Brave Browser e iCloud KeyCain.
Otra nueva característica adición a OtterCookie V4 es la capacidad de detectar si se ejecuta en entornos de máquina virtual (VM) relacionadas con Broadcom VMware, Oracle Virtualbox, Microsoft y QEMU.
Curiosamente, se ha encontrado que el primer módulo de robador responsable de recopilar credenciales de Google Chrome lo hace después de descifrarlas, mientras que el segundo módulo recolecta datos de inicio de sesión cifrados de navegadores como Chrome y Brave.
«Esta diferencia en el procesamiento de datos o el estilo de codificación implica que estos módulos fueron desarrollados por diferentes desarrolladores», dijeron los investigadores Masaya Motoda y Rintaro Koike.
La divulgación se produce cuando múltiples cargas de útiles maliciosas relacionadas con la campaña de entrevistas contagiosas se han descubierto en los últimos meses, lo que indica que los actores de amenaza están refinando su modus operandi.
Esto incluye un robador de información basado en GO que se entrega bajo la apariencia de una actualización de controlador Realtek («Webcam.zip») que, cuando se abre, ejecuta un script de shell responsable de descargar el robador y lanzar una aplicación MACOS engañosa («Driverminupdate.app») diseñada para cosechar la contraseña del sistema de macOS de víctimas.
Se cree que el malware se distribuyó como parte de una versión actualizada de la entrevista de ClickFake con nombre en forma de actividad de Sekoia el mes pasado debido al uso de señuelos de estilo ClickFix para solucionar problemas de audio y video inexistentes durante una evaluación en línea para un proceso de entrevista de trabajo.
«El papel principal del robador es establecer un canal C2 persistente, perfilar el sistema infectado y exfiltrado datos confidenciales», dijo la división de ciberseguridad de MacPaw, Moonlock. «Logra esto a través de una combinación de reconocimiento del sistema, robo de credenciales y ejecución de comandos remotos».
Se evalúa que la aplicación driverminupdate es parte de un conjunto más grande de aplicaciones maliciosas similares que han sido descubiertas por DMPDUMP, Sentinelone, Enki y Kandji como ChromeUpdateAlert, ChromeUpdate, CameraCcess y DriverEasy.
Una segunda familia de malware nueva conectada a la campaña es el trabajo de marco de tsunami, que se entrega como una carga útil de seguimiento a un patio trasero de Python conocido denominado Invisibleferret. Un malware modular basado en .NET, está equipado para robar una amplia gama de datos de navegadores web y billeteras de criptomonedas.
También incorpora características para registrar las teclas de teclas, recopilar archivos e incluso un componente de botnet que parece estar bajo desarrollo temprano, dijo la compañía de seguridad alemana Hisolutions en un informe publicado a fines del mes pasado.
Se cree que la entrevista contagiosa, por eset, es un nuevo grupo de actividades que forma parte del Grupo de Lazarus, un notorio grupo de piratería de Corea del Norte que tiene una historia histórica de orquestar ataques con motivación de espionaje y financieramente como una forma de avanzar en los objetivos estratégicos y las sanciones internacionales de la nación.
A principios de este año, el colectivo adversario se atribuyó al atraco de miles de millones de dólares de la plataforma de criptomonedas BYBIT.
La amenaza de trabajadores de TI de Corea del Norte perdura
Los hallazgos se producen cuando la compañía de seguridad cibernética Sophos reveló que los actores de amenaza detrás del esquema de trabajadores de TI fraudulentos de Corea del Norte, también conocido como Chollima, Tapestry de níquel y Wageme, han comenzado a dirigirse cada vez más a las organizaciones en Europa y Asia, e industrias más allá del sector de la tecnología para asegurar empleos y canalizar los ingresos a Pyongyang.
«A lo largo de la fase previa al empleo, los actores de amenaza a menudo manipulan digitalmente fotos para sus currículums falsificados y perfiles de LinkedIn, y para acompañar la historia laboral previa o las reclamaciones de proyectos grupales», dijo la Unidad de Amenazas de Contador SecureWorks de la compañía (CTU).
«Comúnmente usan fotos de archivo superpuestas con imágenes reales de sí mismos. Los actores de amenaza también han aumentado el uso de la IA generativa, incluidas las herramientas de escritura, las herramientas de edición de imágenes y los constructores de currículums».
Los trabajadores fraudulentos, al obtener un trabajo, también se han encontrado utilizando los servicios públicos de mouse Jiggler, el software VPN como Astrill VPN y KVM sobre IP para acceso remoto, en algunos casos incluso recurriendo a las llamadas de zoom de ocho horas para compartir pantalla.
La semana pasada, la plataforma de intercambio de criptomonedas Kraken reveló cómo una entrevista de trabajo de rutina para un puesto de ingeniería se convirtió en una operación de recolección de inteligencia después de ver a un hacker norcoreano que intentaba infiltrarse en la compañía con el nombre de Steven Smith.
«El candidato usó escritorios Mac colocados remotos, pero interactuó con otros componentes a través de una VPN, una configuración comúnmente implementada para ocultar la ubicación y la actividad de la red», dijo la compañía. «Su currículum estaba vinculado a un perfil de GitHub que contenía una dirección de correo electrónico expuesta en una violación de datos anterior».
«La forma principal del candidato de identificación parecía estar alterada, probablemente utilizando detalles robados en un caso de robo de identidad dos años antes».
Pero en lugar de rechazar la solicitud del candidato directamente, Kraken dijo que sus equipos de seguridad y reclutamiento «estratégicamente» los avanzaron a través de su proceso de entrevista como para atraparlos pidiéndoles que confirmaran su ubicación, mantengan una identificación emitida por el gobierno y recomiendan algunos restaurantes locales en la ciudad en los que afirmaron estar.
«Pleavado y sorprendido, lucharon con las pruebas de verificación básicas y no pudieron responder de manera convincente preguntas en tiempo real sobre su ciudad de residencia o país de ciudadanía», dijo Kraken. «Al final de la entrevista, la verdad era clara: este no era un solicitante legítimo, sino un impostor que intentaba infiltrarse en nuestros sistemas».
En otro caso documentado por el Departamento de Justicia de los Estados Unidos (DOJ) el mes pasado, un hombre de Maryland de 40 años, Minh Phuong Ngoc Vong, se declaró culpable de fraude después de asegurar un trabajo con un contratista gubernamental y luego subcontratando el trabajo a un nacional de Corea del Norte que reside en Shenyang, China, que subscribe la gravedad de la gravedad de la actividad de la reducción de fondos ilícitos.
La capacidad de Corea del Norte para deslizar sigilosamente a miles de sus trabajadores en las principales empresas, a menudo con la ayuda de facilitadores que dirigen lo que se llama una granja de computadoras portátiles, ha llevado a advertencias repetidas de los gobiernos japoneses, surcoreanos, del Reino Unido y los Estados Unidos.
Se ha encontrado que estos trabajadores pasan hasta 14 meses dentro de una organización, y los actores de amenaza también participan en el robo de datos y las amenazas de extorsión después de la terminación.
«Las organizaciones (deberían) establecer procedimientos de verificación de identidad mejorados como parte de su proceso de entrevista», dijo Sophos. «El personal de recursos humanos y los reclutadores deben actualizarse regularmente sobre las tácticas utilizadas en estas campañas para ayudarlos a identificar potenciales trabajadores de TI de Corea del Norte».
«Además, las organizaciones deben monitorear la actividad tradicional de amenaza interna, el uso sospechoso de herramientas legítimas y alertas de viaje imposibles para detectar la actividad a menudo asociada con trabajadores fraudulentos».