En los últimos años, el auge de las criptomonedas y la expansión de la industria digital han abierto nuevas puertas tanto para la innovación como para el fraude. Recientemente, un grupo norcoreano, conocido como Contagious Interview y vinculado al infame grupo Lazarus, ha intensificado sus operaciones fraudulentas mediante la creación de empresas falsas de criptomonedas que sirven como fachada para una compleja estafa de empleo. Esta campaña, que ha sido monitoreada y analizada desde finales de 2023 por diversos expertos en ciberseguridad, utiliza ofertas de trabajo atractivas en el campo de las criptomonedas para atraer a profesionales y entusiastas dispuestos a incorporarse a un sector prometedor. Sin embargo, detrás de la aparente oportunidad laboral se esconde un peligroso mecanismo diseñado para distribuir malware sofisticado y robar datos confidenciales. El modus operandi de este grupo consiste en la construcción de perfiles corporativos ficticios, utilizando nombres de empresas como BlockNovas LLC, Angeloper Agency y SoftGlide LLC.
Estas entidades no solo son inexistentes, sino que cuentan con sitios web profesionales, perfiles en redes sociales y anuncios en plataformas legítimas dedicadas a ofertas de trabajo en criptomonedas y tecnología. Para aumentar la credibilidad, los atacantes emplean imágenes generadas por inteligencia artificial, algunas producidas con herramientas concretas como Remaker AI, para simular empleados y equipos completos. El proceso comienza cuando un aspirante a un empleo en estas compañías falsas realiza una aplicación a través de portales reconocidos como CryptoJobsList, CryptoTask, Freelance y Upwork, o incluso al ser detectado mediante repositorios en GitHub. Tras enviar su información, la víctima recibe supuestos materiales para entrevistas, que en realidad contienen archivos maliciosos capaces de infectar su sistema. El principal objetivo del malware descargado es el robo de información sensible, incluyendo credenciales, datos personales y claves de carteras digitales.
Entre las variantes de software malicioso identificadas en estas campañas figuran BeaverTail, InvisibleFerret y OtterCookie. BeaverTail es un malware basado en JavaScript que actúa como cargador para instalar otros softwares dañinos y recopilar información. InvisibleFerret funciona como spyware y puerta trasera, permitiendo a los atacantes el acceso remoto a los sistemas infectados. OtterCookie se especializa en el robo de datos y claves relacionadas con criptomonedas. Se ha descubierto que los operadores de esta campaña utilizan servicios de VPN como Astrill junto a proxies residenciales para ocultar su infraestructura y dificultar la detección.
Esta sofisticación, sumada al empleo de imágenes de inteligencia artificial para crear perfiles y pizarras de personal, muestra el nivel de evolución que han alcanzado las operaciones de cibercrimen patrocinadas por estados, particularmente en Corea del Norte. El análisis de la empresa BlockNovas revela que la dirección registrada corresponde a una zona residencial en Warrenville, Carolina del Sur, y que los contactos supuestamente involucrados, como Mehmet Demir y Ramon Mckenzie, no existen o son perfiles fabricados. Aunque algunos detalles sugieren que podrían haber personas reales en roles administrativos de apoyo, la mayoría de las identidades vinculadas a estas compañías son ficticias o falsificadas. Además de los documentos y materiales de entrevista infectados, el proceso de solicitud incluye formularios que recopilan datos personales importantes, incluyendo la ubicación, experiencia laboral, nivel de inglés y enlaces a perfiles en redes sociales. A veces se solicita a los candidatos enviar videos de presentación, elevando así el nivel de interacción y el compromiso emocional con la supuesta compañía.
Uno de los aspectos más inquietantes de esta estafa es la utilización de ventanas emergentes que sugieren habilitar el acceso a la cámara o al micrófono del dispositivo del usuario, usando mensajes como “Acceso a tu cámara o micrófono actualmente bloqueado” junto con indicaciones engañosas tales como “ClickFix”. Si la víctima ejecuta estos comandos en su equipo —ya sea Windows, Mac o Linux— se activa automáticamente el malware. Estas técnicas permiten a los atacantes obtener control a distancia sobre dispositivos, acceder a información sensible y, de manera particular, robar fondos de criptomonedas que las víctimas puedan tener almacenadas. En un momento donde el uso de criptoactivos está en auge, la demanda por profesionales en esta área es alta, lo que facilita que las campañas fraudulentas ganen adeptos y aumenten su impacto. Corea del Norte ha sido identificada durante años como una de las fuentes principales de ciberataques estatales enfocados en ganar dinero para evadir sanciones internacionales.
Las ganancias obtenidas a partir de estas y otras actividades ilícitas son utilizadas para financiar programas de armas y otros objetivos del régimen. Además, no es la primera vez que grupos norcoreanos recurren a la ingeniería social para atraer trabajadores de tecnologías de la información con el fin de llevar a cabo ataques cibernéticos contra terceros. El desarrollo tecnológico y la globalización del mercado laboral digital han facilitado la expansión de estas tácticas fraudulentas, complicando la labor de las agencias de seguridad y los especialistas en inteligencia de amenazas. La creación de identidades falsas respaldadas por la inteligencia artificial representa un desafío adicional, ya que dificulta la verificación tradicional y la autenticación de usuarios y empresas. Para los profesionales y usuarios interesados en trabajar en el sector de las criptomonedas, resulta crucial mantener una postura de escepticismo saludable y adoptar medidas de seguridad.
Esto incluye verificar la autenticidad de las ofertas laborales mediante investigación profunda, comprobar direcciones físicas y perfiles de empresa en distintas fuentes confiables, y evitar compartir información personal o permitir accesos a dispositivos sin una confirmación clara. Las plataformas que listan empleos en la industria de criptodivisas también deben mejorar sus procesos de control y filtración para evitar que este tipo de estafas se propaguen. Integrar sistemas de verificación de identidad e inteligencia artificial para detectar anomalías podría ser un paso importante para proteger a los usuarios. En un entorno digital que evoluciona rápidamente, la educación en seguridad informática y la cooperación internacional siguen siendo herramientas fundamentales para enfrentar amenazas complejas como la estafa de empresas ficticias en criptomonedas impulsada por grupos estatales norcoreanos. La comunidad global debe mantenerse alerta y solidaria para prevenir que estos actos ilegales continúen creciendo y afectando a víctimas inocentes.
En resumen, la operación descubierta evidencia cómo las fronteras entre el cibercrimen y la geopolítica se entrelazan en la actualidad. La utilización de tecnología avanzada, la manipulación social y la economía digital convergen para configurar un escenario en el que la precaución y la preparación son indispensables para quienes desean formar parte legítima del mundo criptográfico y laboral moderno.
