En un mundo cada vez más dependiente de la tecnología digital, las amenazas cibernéticas continúan evolucionando y sofisticándose. Entre las tácticas más recientes y llamativas destaca la estrategia implementada por hackers norcoreanos que han conseguido crear empresas ficticias registradas en Estados Unidos con el objetivo de atacar a desarrolladores en el sector de las criptomonedas. Este sofisticado enfoque no solo revela la adaptabilidad de dichos grupos, sino que también alerta sobre nuevos riesgos para la seguridad informática en el ecosistema de las criptomonedas. La amenaza fue descubierta por la firma de seguridad Silent Push, que identificó a tres compañías fachada: Blocknovas, Softglide y Angeloper Agency. Estas empresas, supuestamente ubicadas en estados como Nueva York, Nuevo México y Carolina del Sur, fueron en realidad creadas usando identidades falsas y direcciones fraudulentas.
Su propósito era utilizar ofertas de empleo engañosas para captar la atención de desarrolladores de criptomonedas con perfiles profesionales en plataformas similares a LinkedIn. El grupo detrás de esta operación ha sido vinculado al subgrupo "Contagious Interview", una división dentro del infame grupo de hackers Lazarus. Esta banda cibernética respaldada por Corea del Norte ha sido responsable en años recientes de robar miles de millones de dólares en criptomonedas mediante métodos cada vez más complejos, dirigidos tanto a individuos relevantes como a organizaciones enteras. La metodología empleada en esta campaña es particularmente insidiosa. Los desarrolladores son atraídos por vacantes reales y detalladas que parecen legítimas, respaldadas por perfiles falsos, muchas veces generados con ayuda de inteligencia artificial para crear imágenes y biografías convincentes.
Este nivel de sofisticación dificulta la detección de los engaños y aumenta la probabilidad de que las potenciales víctimas bajen la guardia. Durante las falsas entrevistas de trabajo, las víctimas son invitadas a grabar un video de presentación por medio de una plataforma manipulada. Cuando intentan hacerlo, reciben un error falso que les obliga a seguir instrucciones para solucionar el problema, que incluyen realizar acciones aparentemente inofensivas como copiar y pegar códigos. Sin embargo, este procedimiento instala malware en sus sistemas sin que se percaten. Entre los programas maliciosos identificados se encuentran tres variantes específicas: BeaverTail, InvisibleFerret y Otter Cookie.
BeaverTail está diseñado para robar información y descargar malware adicional, mientras que InvisibleFerret y Otter Cookie se especializan en la captura de datos sensibles, incluyendo claves de carteras de criptomonedas y contenido del portapapeles. Estas amenazas permiten no solo el robo directo de activos digitales, sino también la instalación de puertas traseras que facilitan ataques posteriores o la distribución de ransomware. En uno de los casos confirmados, un desarrollador vio comprometida su cartera MetaMask tras caer en esta trampa, lo que evidencia el peligro real y tangible que representan estas campañas. Además de los ataques directos a carteras digitales, el acceso remoto a los dispositivos afectados abre la puerta para espionaje y robo de propiedad intelectual esencial para el desarrollo y competitividad en el sector. La inteligencia artificial juega un papel fundamental en la ejecución del engaño, permitiendo a los hackers crear perfiles de empleados que combinan imágenes reales modificadas con fotografías totalmente generadas por computadora.
Esta técnica dificulta la identificación mediante búsquedas inversas de imágenes y aumenta la credibilidad aparente de las empresas falsas. Ante la gravedad de los hechos, las autoridades estadounidenses, a través del FBI, actuaron confiscando el dominio de Blocknovas, una de las compañías ficticias más activas en la operación. En un comunicado anexado al sitio intervenido se informó que la acción forma parte de un esfuerzo para desmantelar las redes utilizadas por actores cibernéticos norcoreanos para engañar y distribuir malware a través de ofertas de empleo falsas. Sin embargo, a pesar de esta victoria parcial, algunas infraestructuras asociadas, como Softglide, permanecen operativas, lo que plantea el desafío continuo que enfrentan las fuerzas del orden y las entidades privadas de ciberseguridad para neutralizar estas amenazas. La campaña, que comenzó a principios de 2024, coincide con otras grandes brechas de seguridad atribuidas al grupo Lazarus, incluyendo el robo multimillonario en la plataforma Bybit y la intrusión en la red Ronin.
Estos incidentes subrayan la persistencia y evolución constante de estos cibercriminales, que también han intentado robar información confidencial a través de llamadas falsas por Zoom según reportes de fundadores de criptomonedas en marzo. Este panorama muestra la importancia de extremar las precauciones en el proceso de reclutamiento, especialmente en áreas sensibles como las relacionadas con la tecnología blockchain y el desarrollo de criptomonedas. La verificación exhaustiva de la legitimidad de las empresas y las ofertas laborales, junto con campañas de concienciación sobre los riesgos de clics y descargas sin confirmación, son vitales para proteger tanto a profesionales como a las organizaciones de estos ataques. Asimismo, resalta la necesidad de implementar tecnologías avanzadas en detección de malware y análisis de comportamiento para identificar y bloquear posibles intrusiones antes de que causen daños significativos. La colaboración entre el sector público, el privado y la comunidad tecnológica es crucial para diseñar estrategias eficaces contra este tipo de ciberamenazas sofisticadas.
En conclusión, la reciente estrategia de los hackers norcoreanos de utilizar empresas pantalla creadas en Estados Unidos para atraer y comprometer a desarrolladores de criptomonedas constituye un ejemplo alarmante de cómo los grupos criminales cibernéticos están adaptando sus métodos para maximizar el impacto y eludir controles. La seguridad de la industria de las criptomonedas depende cada vez más de la capacidad para anticipar, detectar y responder rápidamente ante estas nuevas modalidades de ataque, asegurando que la innovación tecnológica no se vea comprometida por amenazas digitales cada vez más audaces.
