Se han identificado hasta 3.136 direcciones IP individuales vinculadas a posibles objetivos de la actividad de Contagious Interview, y la campaña afirma que 20 organizaciones podrían ser víctimas de los sectores de la inteligencia artificial (IA), las criptomonedas, los servicios financieros, los servicios de TI, el marketing y el desarrollo de software en Europa, el sur de Asia, Oriente Medio y Centroamérica.

El nuevos hallazgos provienen del Grupo Insikt de Recorded Future, que está rastreando el grupo de actividades de amenazas norcoreano con el nombre Bravo morado . Primero documentadas a finales de 2023, el campaña también se conoce como CL-STA-0240, DeceptiveDevelopment, DEV #POPPER, Famous Chollima, Gwisin Gang, Tenacious Pungsan, UNC5342, Void Dokkaebi y WaterPlum.

Se estima que las 3.136 direcciones IP individuales, concentradas principalmente en el sur de Asia y América del Norte, fueron atacadas por el adversario entre agosto de 2024 y septiembre de 2025. Se dice que las 20 empresas víctimas tienen su sede en Bélgica, Bulgaria, Costa Rica, India, Italia, los Países Bajos, Pakistán, Rumania, los Emiratos Árabes Unidos (EAU) y Vietnam.

«En varios casos, es probable que los candidatos que buscan empleo hayan ejecutado código malicioso en dispositivos corporativos, lo que ha creado una exposición organizacional más allá del objetivo individual», afirma la firma de inteligencia de amenazas en un nuevo informe compartido con The Hacker News.

La revelación se produce un día después de Jamf Threat Labs detallada una versión importante de la campaña Contagious Interview, en la que los atacantes abusan de proyectos maliciosos de Microsoft Visual Studio Code (VS Code) como vector de ataque para distribuir una puerta trasera, lo que pone de relieve la explotación continua de los flujos de trabajo de los desarrolladores confiables para lograr su doble objetivo de ciberespionaje y robo financiero.

La empresa propiedad de Mastercard dijo que detectó cuatro personas de LinkedIn potencialmente asociadas con PurpleBravo que se hicieron pasar por desarrolladores y reclutadores y afirmaron ser de la ciudad ucraniana de Odesa, junto con varios repositorios maliciosos de GitHub diseñados para entregar familias de malware conocidas como BeaverTail.

También se ha observado que PurpleBravo administra dos conjuntos distintos de servidores de comando y control (C2) para BeaverTail, un cargador y ladrón de información de JavaScript y un backdoor basado en Go conocido como Fantasma de Golang (también conocido como FlexibleFerret o WeaselStore) que se basa en la herramienta de código abierto HackBrowserData.

Los servidores C2, alojados en 17 proveedores diferentes, se administran a través de Astrill VPN y desde rangos de IP en China. Actores de amenazas norcoreanos» uso de Astrill VPN en los ciberataques ha sido bien documentado a lo largo de los años.

Vale la pena señalar que Contagious Interview complementa una segunda campaña independiente denominada Wagemole (también conocida como PurpleDelta), en la que trabajadores de TI del Reino de los Ermitaños buscan empleo no autorizado con identidades fraudulentas o robadas en organizaciones con sede en los EE. UU. y otras partes del mundo, tanto con fines de lucro como de espionaje.

Si bien los dos grupos se tratan como conjuntos dispares de actividades, hay importantes superposiciones tácticas y de infraestructura entre ellos, a pesar de que la amenaza para los trabajadores de TI continúa desde 2017.

«Esto incluye un probable operador de PurpleBravo que muestre una actividad coherente con el comportamiento de los trabajadores de TI norcoreanos, las direcciones IP en Rusia vinculadas a trabajadores de TI norcoreanos que se comunican con los servidores PurpleBravo C2 y el tráfico de administración desde la misma dirección IP de VPN de Astrill asociada a la actividad de PurpleDelta», afirma Recorded Future.

Para empeorar las cosas, se ha descubierto que los candidatos a los que PurpleBravo contacta con ofertas de trabajo ficticias realizan la evaluación de codificación en dispositivos emitidos por la empresa, lo que compromete a sus empleadores en el proceso. Esto pone de relieve que la cadena de suministro de software de TI es «igual de vulnerable» a la infiltración de adversarios norcoreanos distintos de los trabajadores de TI.

«Muchas de estas organizaciones [víctimas potenciales] anuncian grandes bases de clientes, lo que representa un grave riesgo para la cadena de suministro para las empresas que subcontratan trabajos en estas regiones», señaló la empresa. «Si bien la amenaza de empleo para los trabajadores de TI norcoreanos ha recibido amplia publicidad, el riesgo que representa la cadena de suministro de PurpleBravo merece la misma atención para que las organizaciones puedan prepararse, defenderse y prevenir la filtración de datos confidenciales a los actores de amenazas norcoreanos».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.