Se han identificado hasta 3.136 direcciones IP individuales asociadas con posibles objetivos de la campaña Contagious Interview, que afirma incluir 20 organizaciones víctimas potenciales en los sectores de inteligencia artificial (IA), criptomonedas, servicios financieros, servicios de TI, marketing y desarrollo de software en Europa, el sur de Asia, Medio Oriente y América Central.
Este nuevo descubrimiento proviene del Grupo Insikt de Recorded Future, que rastrea un grupo de actividades de amenazas de Corea del Norte bajo el nombre PurpleBravo. La campaña, documentada por primera vez a finales de 2023, también se conoce como CL-STA-0240, DeceivedDevelopment, DEV#POPPER, Famous Chollima, Gwisin Gang, Tenacious Pungsan, UNC5342, Void Dokkaebi y WaterPlum.
Se estima que las 3.136 direcciones IP individuales, concentradas principalmente en el sur de Asia y América del Norte, fueron atacadas por atacantes entre agosto de 2024 y septiembre de 2025. Se dice que las 20 empresas afectadas tienen su sede en Bélgica, Bulgaria, Costa Rica, India, Italia, Países Bajos, Pakistán, Rumania, Emiratos Árabes Unidos (EAU) y Vietnam.
«En algunos casos, los solicitantes de empleo ejecutaron códigos maliciosos en los dispositivos de la empresa, exponiéndolos probablemente a riesgos sistémicos más allá de los objetivos individuales», dijo la firma de inteligencia de amenazas en un nuevo informe compartido con Hacker News.
Esta divulgación se produce un día después de que Jamf Threat Labs detallara iteraciones significativas de la campaña Contagious Interview en la que los atacantes explotaron proyectos maliciosos de Microsoft Visual Studio Code (VS Code) como vectores de ataque para distribuir puertas traseras, destacando la explotación continua de flujos de trabajo de desarrolladores confiables para lograr los objetivos gemelos del ciberespionaje y el robo financiero.
La compañía propiedad de Mastercard anunció que había detectado cuatro personas de LinkedIn potencialmente asociadas con Purple Bravo haciéndose pasar por desarrolladores o reclutadores y afirmando ser de la ciudad ucraniana de Odesa, así como varios repositorios maliciosos de GitHub diseñados para distribuir familias de malware conocidas como BeaverTail.
También se ha observado que PurpleBravo mantiene dos conjuntos diferentes de servidores de comando y control (C2) para BeaverTail, un cargador y ladrón de información de JavaScript, y una puerta trasera basada en Go conocida como GolangGhost (también conocida como FlexibleFerret o WeaselStore), que se basa en la herramienta de código abierto HackBrowserData.
Los servidores C2 están alojados en 17 proveedores diferentes y se administran desde rangos de IP chinos a través de Astrill VPN. El uso de Astrill VPN en ciberataques por parte de atacantes norcoreanos ha estado bien documentado durante muchos años.
Vale la pena señalar que Contagious Interview es complementaria a una segunda campaña separada llamada Wagemole (también conocida como PurpleDelta). En esta campaña, los empleados de TI afiliados a Hermit Kingdom buscan empleo no autorizado en organizaciones con sede en los Estados Unidos y otras partes del mundo bajo identidades fraudulentas o robadas tanto para obtener ganancias financieras como para espionaje.
Aunque los dos grupos se tratan como conjuntos diferentes de actividades, existen importantes superposiciones tácticas y de infraestructura entre ellos, a pesar de que las amenazas a los trabajadores de TI existen desde 2017.
«Esto incluye tráfico administrativo de un probable operador de PurpleBravo que muestra actividad consistente con la del personal de TI de Corea del Norte, una dirección IP rusa asociada con el personal de TI de Corea del Norte que se comunica con el servidor PurpleBravo C2 y la misma dirección IP de Astrill VPN asociada con la actividad de PurpleDelta», dijo Recorded Future.
Para empeorar las cosas, resulta que los candidatos a quienes PurpleBravo les ofreció trabajos ficticios realizaron evaluaciones de codificación en dispositivos proporcionados por la empresa, comprometiendo efectivamente a sus empleadores en el proceso. Esto pone de relieve que la cadena de suministro de software de TI es «igualmente vulnerable» a las intrusiones de los adversarios de Corea del Norte distintos de los trabajadores de TI.
«Muchas de estas organizaciones (víctimas potenciales) anuncian grandes bases de clientes, lo que plantea importantes riesgos en la cadena de suministro para las empresas que subcontratan operaciones en estas regiones», señaló la empresa. «Si bien la amenaza al empleo de los trabajadores de TI en Corea del Norte es ampliamente conocida, los riesgos de la cadena de suministro de PurpleBravo son igualmente notables, ya que ayudan a las organizaciones a prepararse, protegerse y prevenir la exposición de datos confidenciales a los actores de amenazas norcoreanos».
Source link
