El ecosistema de las criptomonedas, conocido por su rápido crecimiento y gran atractivo económico, se convierte cada vez más en un objetivo privilegiado para ataques cibernéticos sofisticados. Recientemente, se ha descubierto una campaña avanzada originada en Corea del Norte que utiliza tácticas sumamente elaboradas para infiltrarse en organizaciones y robar información relacionada con criptomonedas. Esta operación, realizada por un grupo de hackers conocido como Contagious Interview, está ligada al infame grupo Lazarus, reconocido por ataques cibernéticos a nivel global. El modus operandi utilizado por este grupo involucra la creación de empresas ficticias dedicadas al mundo de las criptomonedas, con presencia aparentemente legítima en Estados Unidos. Entre estas se destacan BlockNovas LLC en Nuevo México, Angeloper Agency y SoftGlide LLC en Nueva York.
Sin embargo, estas firmas no están registradas realmente, lo que revela la intención de su uso como fachada para actividades ilícitas. El esquema se basa en atraer a víctimas potenciales, especialmente personas que buscan empleo en el área de criptomonedas, mediante ofertas laborales falsas. Para ello, utilizan sitios similares a plataformas profesionales como LinkedIn y otras redes de reclutamiento. Los candidatos interesados son invitados a entrevistas que en realidad son señuelos para distribuir software malicioso. Durante estas interacciones, se les solicita descargar archivos supuestamente relacionados con el proceso de aplicación o documentos de incorporación, que en realidad contienen malware.
La sofisticación de la campaña radica no solo en la creación de estas firmas falsas, sino también en el uso de inteligencia artificial para generar perfiles creíbles de empleados ficticios. La herramienta Remaker AI ha sido utilizada para construir perfiles fotográficos y profesionales en línea que incrementan la credibilidad y confianza de las víctimas. Esta capa adicional de engaño convierte las estafas en mucho más difíciles de detectar por parte de los usuarios menos entrenados. Los tipos de malware identificados en esta campaña incluyen BeaverTail, InvisibleFerret y OtterCookie, todos previamente vinculados a unidades cibernéticas norcoreanas. Estas piezas de software malicioso tienen la capacidad de robar datos sensibles, dar acceso remoto a sistemas afectados y actuar como puerta de entrada para ataques posteriores con spyware o ransomware, poniendo en alto riesgo inevitable la seguridad de las organizaciones infiltradas.
Uno de los aspectos más relevantes de esta operación fue la rapidez con la que las autoridades estadounidenses actuaron para mitigar el daño. A finales de abril de 2025, el FBI confiscó el dominio de BlockNovas LLC, el frente más activo dentro del esquema, removiéndolo de la red y cerrando así un canal considerable de infección y difusión de malware. Además, para ocultar su infraestructura y operaciones, los hackers utilizaron recursos tecnológicos complejos como VPNs, proxies residenciales y otras herramientas que dificultan la rastreabilidad de sus movimientos en línea. Esta capa de protección demuestra un alto nivel de planificación y el uso avanzado de tecnologías de ocultamiento para prolongar la efectividad de su campaña. El predominio de plataformas digitales comunes como GitHub, bolsas de trabajo en línea y sitios de freelancers dentro de la operación destaca la necesidad de un escrutinio más riguroso sobre los canales de reclutamiento y colaboración digital.
Estas plataformas, diseñadas para facilitar la conexión y contratación laboral, pueden convertirse en vehículos involuntarios de actividades maliciosas si no se establecen filtros y medidas de seguridad robustas. El panorama actual de amenazas cibernéticas muestra que las técnicas utilizadas por actores estatales o grupos con motivaciones políticas y económicas están evolucionando constantemente y apuntan cada vez más al sector cripto, que por su propia naturaleza y valor económico es un objetivo muy tentador. La combinación de ingeniería social, tecnología avanzada y el uso de identidades falsas convierte a estas campañas en un desafío complejo para la seguridad informática. La lección más importante que deja este caso es la urgencia de implementar estrategias rigurosas de ciberseguridad, especialmente en procesos de reclutamiento y manejo de datos confidenciales. Es vital que las empresas establezcan mecanismos exhaustivos para verificar la autenticidad de candidatos y interlocutores, optando por entrevistas presenciales o videoconferencias con medidas de autentificación sólidas.
