Un reciente informe presentado en la conferencia Virus Bulletin 2025 ha puesto de relieve las actividades de un grupo de amenazas relacionado con Corea del Norte, conocido como DeceptiveDevelopment. Este grupo se especializa en el uso de técnicas de ingeniería social para atraer a desarrolladores de software, a menudo utilizando ofertas de trabajo fraudulentas. Según el documento, el grupo ha implementado un conjunto de herramientas mayoritariamente multiplataforma que incluye scripts maliciosos ofuscados en Python y JavaScript, así como un proyecto en la dark web desarrollado en .NET.
El informe también explora las operaciones de los trabajadores de TI de Corea del Norte, quienes, aunque tienen objetivos diferentes a los de DeceptiveDevelopment, están estrechamente relacionados. Los operadores de DeceptiveDevelopment actúan como reclutadores, comprometiendo los sistemas de los solicitantes de empleo, mientras que los trabajadores de TI utilizan esta información para crear identidades falsas y mejorar sus posibilidades de conseguir un trabajo legítimo.
Las tácticas de DeceptiveDevelopment incluyen dar la impresión de que son reclutadores a través de plataformas como LinkedIn y Upwork, donde ofrecen puestos bien remunerados. Sin embargo, a través de desafíos de programación que requieren la descarga de proyectos desde repositorios privados, se instalan malware en los sistemas de las víctimas. Entre las amenazas detectadas se encuentran ‘BeaverTail’ e ‘InvisibleFerret’, herramientas utilizadas para robar información relevante, incluyendo datos de criptomonedas.
Un aspecto preocupante del informe es la revelación de que los trabajadores de TI de Corea del Norte han comenzado a usar herramientas basadas en inteligencia artificial para la creación de identidades sintéticas y manipulaciones fotográficas, que les permiten presentarse con identidades falsas de manera más convincente durante entrevistas. Este fenómeno destaca la creciente interconexión entre las operaciones de cibercrimen y técnicas más convencionales de fraude.
El estudio también pone de manifiesto cómo este grupo se adapta y utiliza herramientas y técnicas de otros actores cibernéticos alineados con Corea del Norte, ampliando su capacidad para operar de forma eficaz. La investigación concluye que estas actividades son una amenaza híbrida, combinando el fraude tradicional con el cibercrimen, lo que podría tener implicaciones graves para las empresas que contratan trabajadores remotos. El informe invita a las organizaciones a estar atentas a esta intersección entre el crimen cibernético y las operaciones de amenazas avanzadas persistentes (APT), sugiriendo que se deben considerar ecosistemas de amenazas más amplios en lugar de campañas aisladas.
Fuente: WeLiveSecurity by eSet.
