Se ha observado que los actores de amenazas con vínculos con la República Popular Democrática de Corea (también conocida como la RPDC o Corea del Norte) aprovechan los señuelos tipo ClickFix para lanzar un malware conocido llamado BeaverTail e InvisibleFerret.
«El actor de amenazas usó los señuelos de ClickFix para centrarse en las funciones de marketing y comercialización en las organizaciones del sector minorista y de criptomonedas, en lugar de centrarse en las funciones de desarrollo de software», dijo Oliver Smith, investigador de GitLab Threat Intelligence dijo en un informe publicado la semana pasada.
Expuestos por primera vez por Palo Alto Networks a finales de 2023, agentes norcoreanos han desplegado BeaverTail e InvisibleFerret como parte de una campaña de larga duración denominada Entrevista contagiosa (también conocida como Gwisin Gang), donde el malware se distribuye a los desarrolladores de software con el pretexto de una evaluación del puesto. Se evaluó como un subconjunto del grupo paraguas Lázaro , el clúster ha sido activo al menos desde diciembre de 2022.
A lo largo de los años, BeaverTail también se ha propagado a través de paquetes npm falsos y aplicaciones fraudulentas de videoconferencia de Windows como FCCCall y FreeConference. Escrito en JavaScript, el malware actúa como un ladrón de información y un descargador para un backdoor basado en Python conocido como InvisibleFerret.
Una evolución importante de la campaña implica el uso de la táctica de ingeniería social de ClickFix para entregar malware como GolangGhost, PylangGhost y FlexibleFerret, un subgrupo de actividad rastreado como Entrevista de ClickFake .
Vale la pena destacar la última ola de ataques, observada a finales de mayo de 2025, por dos razones: el empleo de ClickFix para ofrecer BeaverTail (en lugar de GolangGhost o FlexibleFerret) y la entrega del ladrón en forma de un binario compilado producido con herramientas como pkg y PyInstaller para sistemas Windows, macOS y Linux.
Una aplicación web de plataforma de contratación falsa creada con Vercel sirve como vector de distribución para el malware, ya que el actor de la amenaza anuncia puestos de comerciante, ventas y marketing de criptomonedas en varias organizaciones de Web3, e insta a los objetivos a invertir en una empresa de Web3.
«Los ataques de los actores de amenazas contra los solicitantes de marketing y la suplantación de identidad de una organización del sector minorista son dignos de mención, dado el enfoque habitual de los distribuidores de BeaverTail en los desarrolladores de software y el sector de las criptomonedas», dijo Smith.
Los usuarios que acceden al sitio capturan sus direcciones IP públicas y se les indica que completen una evaluación en vídeo de sí mismos, momento en el que aparece un falso error técnico relacionado con un problema de micrófono inexistente y se les pide que cometan un comando específico del sistema operativo para supuestamente solucionar el problema, lo que lleva al despliegue de una versión más ligera de BeaverTail, ya sea mediante un script de shell o un script de Visual Basic.
«La variante BeaverTail asociada a esta campaña contiene una rutina simplificada para robar información y apunta a un menor número de extensiones de navegador», afirma GitLab. «La variante tiene como objetivo solo ocho extensiones de navegador, en lugar de las 22 que están destinadas a otras variantes contemporáneas de BeaverTail».
Otra omisión importante es la eliminación de funciones relacionadas con el robo de datos de navegadores web distintos de Google Chrome. También se ha descubierto que la versión para Windows de BeaverTail se basa en un archivo protegido por contraseña que se envía junto con el malware para cargar las dependencias de Python relacionadas con InvisibleFerret.
Si bien los archivos protegidos con contraseña son una técnica bastante común que varios actores de amenazas han adoptado durante algún tiempo, esta es la primera vez que se utiliza el método para la entrega de cargas útiles en relación con BeaverTail, lo que indica que los actores de amenazas están refinando activamente sus cadenas de ataque.
Además, la baja prevalencia de artefactos secundarios en la naturaleza y la ausencia de destreza en ingeniería social sugieren que la campaña pudo haber sido una prueba limitada y es poco probable que se desplegara a gran escala.
«La campaña sugiere un ligero cambio táctico para un subgrupo de operadores norcoreanos de BeaverTail, que va más allá de su objetivo tradicional de desarrollador de software para desempeñar funciones de marketing y negociación en los sectores minorista y de criptomonedas», dijo GitLab. «La adopción de variantes compiladas de malware y la continua utilización de las técnicas de ClickFix demuestran la capacidad de adaptación operativa para alcanzar objetivos y sistemas menos técnicos sin tener instaladas las herramientas de desarrollo de software estándar».
La noticia se produce cuando una investigación conjunta de SentinelOne, SentinelLabs y Validin descubrió que al menos 230 personas han sido atacadas por Entrevista contagiosa campaña de falsas entrevistas de trabajo en criptomonedas entre enero y marzo de 2025 haciéndose pasar por empresas como Archblock, Robinhood y eToro.
Esta campaña consistía esencialmente en el uso de temas de ClickFix para distribuir aplicaciones maliciosas de Node.js denominadas ContagiousDrop, que están diseñadas para implementar malware disfrazado de actualizaciones o utilidades esenciales. La carga útil se adapta al sistema operativo y la arquitectura del sistema de la víctima. También es capaz de catalogar las actividades de las víctimas y activar una alerta por correo electrónico cuando la persona afectada inicia una falsa evaluación de habilidades.
«En esta actividad [...] los actores de amenazas examinaron la información de inteligencia sobre ciberamenazas (CTI) relacionada con su infraestructura», dijeron las empresas apuntado , añadiendo que los atacantes participaron en un esfuerzo coordinado para evaluar nueva infraestructura antes de la adquisición, así como monitorear los signos de detección de su actividad a través de Validin, VirusTotal y Maltrail.
La información obtenida de estos esfuerzos está destinada a mejorar la resiliencia y la eficacia de sus campañas, así como a implementar rápidamente nuevas infraestructuras tras la eliminación de los proveedores de servicios, lo que refleja un enfoque en invertir recursos para mantener sus operaciones en lugar de promulgar cambios amplios para proteger su infraestructura existente.
«Dado el éxito continuo de sus campañas a la hora de atraer a los objetivos, puede ser más pragmático y eficiente para los actores de amenazas implementar nueva infraestructura en lugar de mantener los activos existentes», dijeron los investigadores. «Los posibles factores internos, como las estructuras de mando descentralizadas o las limitaciones de recursos operativos, pueden restringir su capacidad para implementar cambios coordinados con rapidez».
«Su estrategia operativa parece priorizar el reemplazo rápido de la infraestructura perdida debido a los esfuerzos de desmantelamiento de los proveedores de servicios, utilizando la infraestructura recientemente aprovisionada para mantener su actividad».
Los piratas informáticos norcoreanos tienen una larga historia de intentos de recopilar información sobre amenazas para promover sus operaciones. Ya en 2021, Google y Microsoft revelada que piratas informáticos respaldados por Pyongyang atacaron a investigadores de seguridad que trabajaban en la investigación y el desarrollo de vulnerabilidades utilizando una red de blogs y cuentas de redes sociales falsos para robar exploits.
Luego, el año pasado, SentinelOne prevenido de una campaña emprendida por Scarcruft (también conocido como APT37) se dirige a los consumidores de informes de inteligencia sobre amenazas con informes técnicos falsos como señuelos para entregarlos Rat Rat , una puerta trasera escrita a medida utilizada exclusivamente por el grupo de amenazas norcoreano.
Sin embargo, las campañas recientes de ScarCruft han presenció una especie de punto de partida, ya que se da el inusual paso de infectar los objetivos con un ransomware VCD personalizado, junto con un conjunto de herramientas en evolución compuesto por ladrones y puertas traseras CHILLYCHINO (también conocido como Rustonotto) y FadeStealer. CHILLYCHINO, un implante basado en óxido, es una nueva incorporación al arsenal de los actores de amenazas a partir de junio de 2025. También es el primer caso conocido de APT37 en el que se utiliza un malware basado en Rust para atacar sistemas Windows.
FadeStealer, por otro lado, es una herramienta de vigilancia identificado por primera vez en 2023, está equipado para registrar las pulsaciones de teclas, capturar capturas de pantalla y audio, rastrear dispositivos y medios extraíbles y filtrar datos a través de archivos RAR protegidos con contraseña. Utiliza la codificación HTTP POST y Base64 para comunicarse con su servidor de comando y control (C2).
La cadena de ataque, según Zscaler ThreatLabz , implica el uso de mensajes de spear-phising para distribuir archivos ZIP que contengan atajos de Windows (LNK) o archivos de ayuda (CHM) que dejan caer a CHILLYCHINO o a su conocido homólogo de PowerShell, Chinotto, que luego contacta con el servidor C2 para recuperar una carga útil de la siguiente etapa responsable de lanzar FadeStealer.
«El descubrimiento del ransomware marca un cambio significativo desde las operaciones de espionaje puro hacia una actividad potencialmente destructiva y motivada financieramente», dijo S2W. «Esta evolución pone de manifiesto no solo la diversificación funcional, sino también un realineamiento estratégico más amplio de los objetivos del grupo».
Nuevas campañas de Kimsuky expuestas
Los hallazgos también se producen cuando Corea del Norte se ha alineado con Corea del Norte Kimsuky grupo de hackers (también conocido como APT43), que supuestamente sufrió un incumplimiento , probablemente exposición la tácticas y herramientas de un actor afincado en China trabajando para el Reino Ermitaño (o el de un operador chino que emula su oficio), se ha atribuido a dos campañas diferentes, una de las cuales implica el abuso de los repositorios de GitHub para entregar malware robador y la exfiltración de datos.
«El autor de la amenaza aprovechó un archivo LNK malintencionado [presente en los archivos ZIP] para descargar y ejecutar scripts adicionales basados en PowerShell desde un repositorio de GitHub», dijo S2W dijo . «Para acceder al repositorio, el atacante incrustó un token privado de GitHub codificado directamente en el script».
El script de PowerShell recuperado del repositorio incluye funciones para recopilar metadatos del sistema, incluida la hora del último arranque, la configuración del sistema y los procesos en ejecución; escribir la información en un archivo de registro y subirla al repositorio controlado por el atacante. También descarga un documento señuelo para evitar levantar sospechas.
Dado el uso de una infraestructura confiable con fines maliciosos, se recomienda a los usuarios que controlen el tráfico a api.github.com y la creación de tareas programadas sospechosas, lo que indica la persistencia.
La segunda campaña vinculada a Kimsuky se refiere al abuso de ChatGPT de OpenAI para falsificar tarjetas de identidad militares falsas en una campaña de suplantación de identidad dirigida contra entidades afiliadas a la defensa de Corea del Sur y otras personas centradas en los asuntos norcoreanos, como investigadores, activistas de derechos humanos y periodistas.
El 17 de julio de 2025 se detectaron correos electrónicos de suplantación de identidad que utilizaban el señuelo deepfake de identificación militar, tras una serie de campañas de suplantación de identidad basadas en Clickfix entre el 12 y el 18 de junio, lo que allanó el camino para el malware que facilita el robo de datos y el control remoto.
Se ha descubierto que la cadena de infección de múltiples etapas emplea Páginas de verificación CAPTCHA similares a ClickFix para implementar un script de AutoIt que se conecte a un servidor externo para ejecutar comandos de archivos por lotes emitidos por el atacante, la empresa surcoreana de ciberseguridad Genians dijo en un informe publicado la semana pasada.
Por otra parte, la oleada de ataques recientes también se ha basado en mensajes de correo electrónico falsos para redirigir a los usuarios desprevenidos a páginas de recopilación de credenciales y enviar mensajes con enlaces con trampas explosivas que, al hacer clic en ellos, descargan un archivo ZIP que contiene un archivo LNK que, a su vez, ejecuta un comando de PowerShell para descargar imágenes sintéticas creadas con ChatGPT y un script por lotes que, en última instancia, ejecuta un comando de PowerShell para descargar imágenes sintéticas creadas con ChatGPT y un script por lotes que, en última instancia, ejecuta un comando de PowerShell para descargar imágenes sintéticas creadas con ChatGPT y un script por lotes que, en última instancia, ejecuta el mismo script de AutoIt en un archivo archivador.
«Se clasificó como un ataque de APT en el que se hacía pasar por una institución relacionada con la defensa surcoreana, disfrazado como si se encargaba de las tareas de emisión de documentos de identidad para funcionarios afiliados al ejército», dijo Genians. «Este es un caso real que demuestra la aplicación de la tecnología deepfake por parte del grupo Kimsuky».