Hackers norcoreanos atacaron más de 3.100 direcciones IP vinculadas a inteligencia artificial, criptomonedas y finanzas mediante entrevistas de trabajo falsas

Después de robar más de 2 mil millones de dólares del mercado de criptomonedas en 2025, los piratas informáticos norcoreanos están de regreso con una campaña de reclutamiento laboral falsa ejecutada por un grupo conocido como PurpleBravo.

Piratas informáticos vinculados a Corea del Norte han lanzado un ciberespionaje en más de 3.100 direcciones de Internet vinculadas a empresas de inteligencia artificial, criptomonedas y servicios financieros, según nuevos hallazgos de inteligencia de amenazas del Grupo Insikt de Recorded Future. 

Se detectó que PurpleBravo utilizaba procesos fraudulentos de contratación laboral y herramientas de desarrollo con software malicioso integrado. Según la evaluación de Insikt Group, hasta la fecha se handent20 organizaciones víctimas en el sur de Asia, América del Norte, Europa, Oriente Medio y América Central. 

Corea del Norte lanza una campaña de malware para realizar entrevistas de reclutamiento falsas 

Según explica Insikt Group, la campaña "Entrevista Contagiosa" utiliza ciberdelincuentes que se hacen pasar por reclutadores o desarrolladores y contactan a quienes buscan empleo con ejercicios de entrevistas técnicas. Los analistas de seguridad indicaron que, durante el período de monitoreo, se atacaron al menos 3136 direcciones IP individuales.

Los atacantes se presentaron como representantes de empresas de tecnología y criptografía y solicitaron que los candidatos revisaran el código, clonaran repositorios o completaran tareas de codificación. 

“En varios casos, es probable que los candidatos que buscaban empleo ejecutaran código malicioso en dispositivos corporativos, creando una exposición organizacional más allá del objetivo individual”, escribió la firma de inteligencia de amenazas en su informe.

La operación tiene varios alias en información privada y de código abierto sobre piratas informáticos de Corea del Norte, incluidos CL-STA-0240, DeceptiveDevelopment, DEV#POPPER, Famous Chollima, Gwisin Gang, Tenacious Pungsan, UNC5342, Void Dokkaebi y WaterPlum. 

El grupo de ciberseguridad también mencionó que los hackers utilizaron la VPN y rangos de IP de Astrill para administrar servidores de comando y control con sede en China. Mientras tanto, 17 proveedores de servicios alojaron malware como servidores de BeaverTail y GolangGhost para ellos.

Atraer víctimas con personas, GitHub e historias de portada ucranianas

Insikt Group detectó cuatro personas en línea vinculadas a PurpleBravo, luego de una investigación sobre repositorios maliciosos de GitHub , conversaciones en redes sociales sobre estafas de criptomonedas y un servicio de inteligencia de redes de piratería.

Según el informe, estos perfiles se presentaban sistemáticamente como residentes de Odessa, Ucrania, y se dirigían a solicitantes de empleo del sur de Asia. Insikt afirmó no poder determinar por qué se utilizarondentucranianas en la artimaña. 

En uno de los programas fraudulentos, los hackers utilizaron un sitio web que anunciaba un token basado en una marca de alimentos. Sin embargo, los investigadores no pudieron establecer una conexión entre la criptomoneda y la empresa a la que hacía referencia. El canal oficial de Telegram del proyecto está plagado de estafadores, bots automatizados y enlaces maliciosos. 

Además, la operación también incluyó dos troyanos de acceso remoto relacionados: PylangGhost y GolangGhost. Estas familias de malware son herramientas multiplataforma que comparten comandosdenty automatizan el robo dedenty cookies del navegador.

GolangGhost es compatible con varios sistemas operativos, pero PylangGhost solo funciona en sistemas Windows y puede eludir la protección dedentvinculada a la aplicación de Chrome para la versión 127 y posteriores.

El Grupo Insikt encontró canales de Telegram que anunciaban la venta de cuentas de LinkedIn y Upwork. Los vendedores utilizaban servicios proxy como proxy-seller[.]com, powervps[.]net, residentialvps[.]com, lunaproxy[.]com y sms-activate[.]io, así como servidores privados virtuales para ocultar su ubicación. El operador también interactuó con la plataforma de intercambio de criptomonedas MEXC Exchange.

Puertas traseras de VS Code en Microsoft Visual Studio

El lunes, Jamf Threat Labs informó que actores vinculados a Corea del Norte han desarrollado una versión modificada de Microsoft Visual Studio Code capaz de encontrar puertas traseras en los sistemas. La táctica sedentpor primera vez en diciembre de 2025 y desde entonces se ha perfeccionado, según los analistas de seguridad.

Según Thijs Xhaflaire, investigador de seguridad de Jamf, los atacantes pueden implantar malware que permite la ejecución remota de código en las máquinas. La cadena de infección comienza cuando un objetivo clona un repositorio Git malicioso y lo abre en VS Code.

“Cuando se abre el proyecto, Visual Studio Code solicita al usuario que confíe en el autor del repositorio. Si se concede esa confianza, la aplicación procesa automáticamentematicThijs Xhaflaire escribió.