ESET Research ha dado a conocer hoy, en el marco de la conferencia anual Virus Bulletin (VB), nuevos descubrimientos sobre DeceptiveDevelopment, también identificado como Contagious Interview, un grupo de ciberamenazas asociado a Corea del Norte que en los últimos años ha intensificado de forma significativa su actividad. Su principal objetivo es el robo de criptomonedas, focalizándose en desarrolladores freelance que operan en Windows, Linux y macOS.
El informe presentado analiza la evolución de este grupo, desde sus primeras variantes de malware hasta la creación de herramientas más complejas. Las campañas se sustentan en el uso de técnicas avanzadas de ingeniería social, entre ellas la organización de falsas entrevistas de trabajo y el método ClickFix, empleados para distribuir software malicioso y sustraer criptodivisas.
Asimismo, ESET ha estudiado información procedente de fuentes abiertas (OSINT) que aportan nuevos detalles sobre las actividades de los trabajadores de TI norcoreanos involucrados en fraudes laborales y su relación directa con las operaciones de DeceptiveDevelopment.
Ingeniería social y código troyanizado al servicio del robo de criptomonedas
DeceptiveDevelopment es un grupo vinculado a Corea del Norte, activo al menos desde 2023 y centrado en el beneficio financiero. El grupo tiene como objetivo a desarrolladores de software en todos los sistemas principales —Windows, Linux y macOS—, en especial aquellos que trabajan en proyectos de criptomonedas y Web3.
El acceso inicial se obtiene exclusivamente mediante diversas técnicas de ingeniería social, como ClickFix y perfiles falsos de reclutadores similares a la Operation DreamJob de Lazarus, con el fin de entregar pruebas de generación de código troyanizadas durante entrevistas de trabajo simuladas, que despliegan puertas traseras como parte de un falso proceso de entrevista laboral. Sus payloads más habituales son los infostealers BeaverTail, OtterCookie y WeaselStore, así como el troyano de acceso remoto (RAT) modular InvisibleFerret.
“Los individuos detrás de todas estas actividades sacrifican un alto nivel de sofisticación técnica a cambio de una amplia escala operativa y una ingeniería social altamente creativa. Su malware es en su mayoría simple, y aun así logran engañar incluso a objetivos con sólidos conocimientos técnicos”, explica Peter Kálnai, uno de los coautores del informe de investigación..
Entrevistas falsas y ClickFix para desplegar malware
Los atacantes recurrieron a diversos métodos para comprometer a los usuarios, basándose en ingeniosos trucos de ingeniería social. A través de perfiles falsos o secuestrados, se hacen pasar por reclutadores en plataformas como LinkedIn, Upwork, Freelancer.com y Crypto Jobs List. Ofrecen falsas oportunidades laborales atractivas con el fin de captar el interés de sus objetivos. A las víctimas se les solicita participar en un reto de programación o en una tarea previa a la entrevista.
Además de las cuentas falsas de reclutadores, los atacantes han personalizado y perfeccionado el método de ingeniería social conocido como ClickFix. Las víctimas son atraídas a un sitio falso de entrevistas de trabajo y se les pide completar un formulario de solicitud detallado, invirtiendo tiempo y esfuerzo. En la etapa final, se les solicita grabar una respuesta en video, pero la página muestra un error de cámara y ofrece un enlace “Cómo solucionarlo”. Este enlace instruye a los usuarios a abrir una terminal y copiar un comando que supuestamente resuelve el problema de cámara o micrófono, pero que en realidad descarga y ejecuta malware.
Esquemas de empleo fraudulentos como vía de financiación y espionaje
Si bien la investigación sobre DeceptiveDevelopment se basa principalmente en datos de la telemetría de ESET y en el análisis del conjunto de herramientas del grupo, resulta interesante señalar sus conexiones con operaciones de fraude llevadas a cabo por trabajadores de TI norcoreanos.
Según el cartel de “Los más buscados” del FBI, la campaña de estos trabajadores de TI se mantiene activa al menos desde abril de 2017 y ha ganado cada vez mayor relevancia en los últimos años. En un aviso conjunto publicado en mayo de 2022, esta campaña se describe como un esfuerzo coordinado de trabajadores vinculados a Corea del Norte para obtener empleo en empresas extranjeras, cuyos salarios se utilizan posteriormente como financiación para el régimen. También se sabe que han robado datos internos de compañías y los han utilizado para fines de extorsión, tal como indicó el FBI en un anuncio de enero de 2025.
Como descubrió ESET Research a partir de datos OSINT disponibles, CV falsos y otros materiales relacionados, los trabajadores de TI se centran principalmente en empleo y trabajos por contrato en Occidente, dando prioridad específica a Estados Unidos. Sin embargo, sus hallazgos basados en los materiales obtenidos muestran un cambio de enfoque hacia Europa, con objetivos en países como Francia, Polonia, Ucrania y Albania.
Estos trabajadores utilizan IA para desempeñar sus tareas laborales y dependen en gran medida de ella para manipular fotografías en sus fotos de perfil y CVs, llegando incluso a realizar cambios de rostro en tiempo real durante entrevistas en video para parecerse a la identidad que estén utilizando en ese momento.
Emplean plataformas de entrevistas remotas como Zoom, MiroTalk, FreeConference o Microsoft Teams para llevar a cabo diversas técnicas de ingeniería social. La práctica del proxy interviewing representa un riesgo grave para los empleadores, ya que contratar a un empleado ilegítimo procedente de un país sancionado no solo puede resultar irresponsable o ineficiente, sino que también puede convertirse en una amenaza interna peligrosa.
“Las actividades de los trabajadores de TI norcoreanos constituyen una amenaza híbrida. Este esquema de fraude por encargo combina operaciones criminales clásicas, como el robo de identidad y el fraude de identidad sintética, con herramientas digitales, lo que lo clasifica tanto como un delito tradicional como un ciberdelito”, comenta Kálnai.
