A comienzos de 2025, al menos 230 personas fueron objeto de una campaña maliciosa orquestada por atacantes norcoreanos, que utilizó entrevistas de trabajo falsas relacionadas con criptomonedas como engaño. Se cree que esta operación forma parte de la campaña denominada “Contagious Interview”, que había comenzado en 2022, y a inicios de este año utilizó la técnica conocida como ClickFix.

Los atacantes se hicieron pasar por reclutadores, crearon decenas de sitios web falsos e imitaron entidades del ámbito de las finanzas. La firma Sekoia identificó 184 invitaciones diferentes enviadas a las víctimas como parte de este engaño.

Las ofertas de empleo falsas buscaban atraer personas vinculadas a las criptomonedas y el blockchain, con supuestas oportunidades en roles como Portfolio Manager, Investment Manager y Senior Product Manager.

¿Cómo se realizaron los ataques?

Los atacantes se hicieron pasar por representantes de empresas legítimas del sector financiero (como Archblock, Robinhood y eToro) y establecieron comunicación con los objetivos mediante mensajes con las "oportunidades laborales".

Tras intercambiar mensajes sobre el empleo, las víctimas eran redirigidas a un sitio controlado donde debían realizar una “evaluación de habilidades” como parte del proceso.

Pero estos sitios fraudulentos estaban diseñados para infectar los dispositivos de las víctimas mediante la técnica ClickFix. Se mostraba un mensaje de error falso que instaba a copiar y pegar comandos en una terminal, lo que ejecutaba código malicioso en el sistema del objetivo.

Desde marzo, los investigadores de SentinelLabs y la plataforma Validin observaron que los atacantes estaban muy bien coordinados y revisaban datos de inteligencia de amenazas relacionados con su infraestructura, realizando cambios mínimos para evadir detección.

Pero también se descubrieron otro tipo de ataques, como por ejemplo uno documentado por NCC Group, donde los atacantes se hicieron pasar por empleados de instituciones de inversión usando Telegram. Se cree que explotaron una vulnerabilidad Zero Day en Chrome, con que lograron acceso persistente a la red de una organización DeFi al infectar un dispositivo de un empleado.

NCC Group identificó múltiples herramientas utilizadas en estos ataques, entre ellas keyloggers y de capturas de pantalla, herramientas proxy variadas y varios backdoors. Lo que muestra lo complejo de los ataques, que no solo apuntaban al engaño y la ingeniería social, sino que también integraban herramientas técnicas más sofisticadas.

Fuente: https://www.securityweek.com/north-korean-hackers-targeted-hundreds-in-fake-job-interview-attacks/