Se ha observado que los actores de amenaza con lazos con la República Democrática de Corea (también conocida como DPRK o Corea del Norte) aprovechan los señuelos al estilo de ClickFix para proporcionar malware conocido llamado Beaverail e Invisibleterret.
«Los actores de amenazas utilizaron señuelos de ClickFix para apuntar a los roles de marketing y comerciantes en las organizaciones en los sectores de criptomonedas y minoristas, en lugar de apuntar a roles de desarrollo de software», dijo el investigador de inteligencia de amenazas de Gitlab, Oliver Smith, en un informe publicado la semana pasada.
Beaverail e Invisibletretret, por primera vez por Palo Alto Networks a fines de 2023, fueron desplegados por los agentes de Corea del Norte como parte de una campaña a largo plazo llamada la entrevista infecciosa (también conocida como Gwisin Gang), en la que se entrega malware a los desarrolladores de software bajo el pretexto de la evaluación laboral. El clúster, que ha sido calificado como un subconjunto del grupo paraguas Lázaro, ha estado activo desde al menos diciembre de 2022.
Durante muchos años, Beaverail se ha propagado a través de paquetes de NPM falsos como FCCCall y FreeConference, así como aplicaciones de videoconferencia de Windows Rogue. El malware escrito en JavaScript actúa como robo de información y descargador para las puestas con sede en Python conocido como InvisibleFerret.
Una evolución clave de la campaña incluye el uso de tácticas de ingeniería social de ClickFix para proporcionar malware como Golangghost, Pylanggghost, Flexibleferret.
Vale la pena destacar la última ola de ataques observados a fines de mayo de 2025 por dos razones. Se trata de proporcionar Beaverail (no Golangghost o FlexibleFerret) utilizando ClickFix y entregar el Steeler en forma de binario creado usando herramientas como PKG y Pyinstaller para Windows, MacOS y Sistemas Linux.
Las aplicaciones web de la plataforma de empleo falso creadas con Vercely ACT como vectores de distribución de malware, y los actores de amenazas promueven a los comerciantes de criptomonedas, ventas y roles de marketing en varias organizaciones de Web3, lo que lleva a sus objetivos a invertir en empresas Web3.
«Es de destacar que los objetivos de los solicitantes de marketing de actores de amenazas y la suplantación de las organizaciones del sector minorista son el enfoque habitual en los desarrolladores de software y el sector de criptomonedas», dijo Smith.
Los usuarios que aterrizan en el sitio recibirán instrucciones de capturar una dirección IP pública y completar su propia evaluación de video. En ese punto, recibirá un error técnico falso con respecto a un problema de micrófono inexistente, y se le pedirá que use comandos específicos del sistema operativo para abordar el problema, y se le pedirá que implemente una versión delgada de la versión Beaver, ya sea por scripts de shell o scripts visuales.
«Las variantes de Beaverail asociadas con esta campaña incluyen una rutina de acero de información simplificada y objetivos con menos extensiones de navegador», dijo Gitlab. «Las variantes solo apuntan a ocho extensiones del navegador, no 22, que están atacadas por otras variantes modernas de Beavertail».
Otra omisión importante es la eliminación de características relacionadas con el robo de datos de navegadores web que no sean Google Chrome. Descubrí que la versión de Windows de Beaverail depende de las dependencias de Python asociadas con InvisibleFerret, confiando en los archivos protegidos con contraseña enviados con el malware.
Los archivos protegidos con contraseña son una técnica bastante común que una variedad de actores de amenaza han adoptado durante algún tiempo, pero esta es la primera vez que este método se utiliza para la entrega de carga útil relacionada con Beaverail, lo que indica que los actores de amenazas están mejorando activamente sus cadenas de ataque.
Además, la baja prevalencia de artefactos secundarios y la falta de delicadeza de ingeniería social en la naturaleza sugiere que las campañas son pruebas limitadas y es poco probable que se desplieguen a gran escala.
«Esta campaña sugiere ligeros cambios tácticos en el subgrupo de Corea del Norte de operadores de Beaverwelter, expandiéndose más allá de los desarrolladores de software tradicionales para seguir el papel de marketing y comercio en el sector de criptomonedas y minoristas», dijo Gitlab. «El movimiento que resume las variaciones de malware y la dependencia continua de las técnicas de ClickFix demuestra adaptaciones operativas para alcanzar objetivos y sistemas técnicos sin herramientas de desarrollo de software estándar instaladas».
Este desarrollo se produjo como una investigación conjunta de Sentineln, Sentinel Love y Valin. Descubrió que fue atacado por una campaña de entrevista contagiosa en ataques de entrevistas de trabajo de criptomonedas falsas de enero a marzo de 2025, haciéndose pasar por compañías como Arcalblock, Robinhood y Etro.
Esta campaña se incluyó esencialmente para distribuir una aplicación de nodo.js maliciosa llamada ContagiousDrop, diseñada para usar el tema ClickFix para implementar malware disfrazado de actualización o utilidad obligatoria. La carga útil se adapta al sistema operativo de la víctima y a la arquitectura del sistema. También puede catalogar la actividad de las víctimas y activar alertas por correo electrónico cuando las personas afectadas comienzan las evaluaciones de habilidades falsas.
«Esta actividad (…) está involucrada en los actores de amenaza que examinan la información de inteligencia cibernética (CTI) relacionada con la infraestructura», dijo la compañía, y los atacantes participaron en esfuerzos coordinados para evaluar una nueva infraestructura antes de la adquisición, monitoreando los signos de actividad a través de Valin, Virtuil y Maltrail.
La información recopilada de estos esfuerzos está destinada a mejorar la resiliencia y la efectividad de la campaña, y tiene la intención de implementar rápidamente una nueva infraestructura después de un derribo de proveedores de servicios, lo que refleja su enfoque en los recursos de inversión para mantener el negocio en lugar de implementar cambios extensos para garantizar la infraestructura existente.
«Dado el éxito continuo de las campañas de atracción objetivo, puede ser más práctico y eficiente para los actores de amenaza implementar nuevas infraestructuras en lugar de mantener los activos existentes», dijeron los investigadores. «Los factores internos potenciales, como las estructuras de comando distribuidas y las limitaciones de recursos operativos, pueden limitar la capacidad de implementar rápidamente cambios coordinados».
“Sus estrategias operativas parecen priorizar el rápido reemplazo de la infraestructura perdida a través de los esfuerzos de eliminación por parte de los proveedores de servicios.
Los piratas informáticos de Corea del Norte tienen una larga historia de recopilar inteligencia de amenazas y promover sus negocios. Ya en 2021, Google y Microsoft revelaron que los piratas informáticos respaldados por Pyongyang estaban apuntando a investigadores de seguridad que trabajaban en la investigación y el desarrollo de vulnerabilidades utilizando una red de blogs falsos y cuentas de redes sociales.
Luego, el año pasado, Sentinelone advirtió sobre una campaña dirigida por Scorcruft (también conocido como Apt37). Esto se dirigió a los consumidores que se dirigieron a informes de inteligencia de amenazas en informes técnicos falsos para proporcionar a Rokrat, una puerta trasera personalizada que los grupos de amenazas norcoreanos usaron exclusivamente.
Sin embargo, en una reciente campaña de Scorcruft, fuimos testigos de algún tipo de desviación, tomando los pasos extraordinarios de infectar su objetivo con el ransomware VCD personalizado, además de los kits de herramientas en evolución que incluyen Chilicino Steeler y Backdoor (también conocido como Last Knot) y Fade Steller. Chilicino, un implante oxidado, se ha agregado a la armería de los actores de amenaza desde junio de 2025. También es la primera instancia conocida de apt37 que se dirige a los sistemas de Windows con malware basado en el óxido.
Mientras tanto, Fadestealer es la herramienta de monitoreo identificada por primera vez en 2023, registrando pulsaciones de teclas, capturando capturas de pantalla y audio, dispositivos de seguimiento y medios extraíbles, y eliminando datos a través de archivos RAR protegidos por contraseña. Aprovecha la codificación HTTP Post y Base64 para la comunicación con los servidores de comando y control (C2).
ZSCALER ALIMENTACIÓN DE ATACHO Utiliza mensajes de phishing de lanza para distribuir archivos ZIP que contienen accesos directos de Windows (LNK), o para distribuir archivos de ayuda (CHM) que dejan caer Chillychino o su conocido Powershell Chinotto, comuníquese con el servidor C2 para obtener pagos de la próxima etapa responsable de disparar a FadeSteador.
«El descubrimiento de ransomware muestra un cambio importante del espionaje puro a actividades potencialmente disruptivas que están motivadas financieramente», dijo S2W. «Esta evolución destaca no solo la diversificación funcional, sino también una reorganización estratégica más amplia en los objetivos grupales».
Se ha publicado una nueva campaña de Kimsky
Los resultados de la encuesta también ocurren como un grupo de piratería Kimsky (también conocido como APT43) en línea con Corea del Norte. Se dice que esto es probable que exponga las tácticas y las herramientas de los actores con sede en China que sufren violaciones y trabajan para el Reino Hermitaño (o debido a dos campañas diferentes debido a dos campañas diferentes, excepto Emuliladecraft debido a su oficio y exfoliación.
«Los actores de amenaza aprovecharon los archivos LNK maliciosos (que residen en el archivo ZIP) para descargar y ejecutar scripts adicionales basados en PowerShell del repositorio de GitHub», dijo S2W. «Para acceder al repositorio, el atacante incrusta directamente un token privado de GitHub codificado dentro del guión».
Los scripts de PowerShell recuperados del repositorio están equipados con la capacidad de recopilar metadatos del sistema, incluido el tiempo de inicio final, la configuración del sistema y los procesos de ejecución. Escribe la información en un archivo de registro. Sube al repositorio de control del atacante. Además, descargue el documento de señuelo para evitar cualquier duda.
Dado el uso de una infraestructura confiable para fines maliciosos, se alienta a los usuarios a controlar el tráfico a api.github.com y la creación de tareas sospechosas programadas.
La segunda campaña vinculada a Kimsky es sobre el abuso de Chatgpt de OpenAI de las cartas de identificación militar de Deepfake en una campaña de phishing de lanza contra organizaciones de defensa de Corea del Sur y otras personas que se centran en temas de Corea del Norte, incluidos investigadores, activistas de derechos humanos y periodistas.
Después de una serie de campañas de phishing basadas en ClickFix del 12 al 18 de junio, se observaron correos electrónicos de phishing utilizando el señuelo de Fark de ID de Militar, el 17 de julio de 2025, allanando el camino para que el malware promueva el robo de datos y el control remoto.
Se sabe que las cadenas de infección en varias etapas emplean páginas de verificación Captcha como ClickFix para implementar scripts de automóviles que se conectan a servidores externos y ejecutar comandos de archivos por lotes emitidos por los atacantes.
Alternativamente, una explosión reciente de ataques también se basa en mensajes de correo electrónico falsos para redirigir a los usuarios desprevenidos a la página de Certificación Harvest, descargar un archivo ZIP que contiene el archivo LNK cuando se hace clic, ejecute los comandos de PowerShell para descargar la imagen compuesta creada con ChatGPT y usar ese automóvil para descargar el comando BatMedice.
«Esto se clasificó como un ataque adecuado que se convierte en la agencia relacionada con la defensa de Corea del Sur, disfrazada de que manejaba la tarea de emisión de identidad para los oficiales militares», dijo Genians. «Este es un caso real que muestra la aplicación de la tecnología Deepfake de Kimsuky Group».
Source link
