Se ha observado que los actores de amenaza con lazos con la República Popular Democrática de Corea (también conocida como DPRK o Corea del Norte) aprovechan señuelos de estilo ClickFix para entregar un malware conocido llamado Beaverail e InvisibleFerret.
«El actor de amenaza utilizó señuelos de ClickFix para apuntar a los roles de marketing y comerciantes en las organizaciones de criptomonedas y sectoras minoristas en lugar de apuntar a roles de desarrollo de software», el investigador de inteligencia de amenazas de Gitlab Oliver Smith dicho en un informe publicado la semana pasada.
Primero expuesto por Palo Alto Networks a fines de 2023, Beavertail e InvisibleFerret han sido desplegados por los agentes norcoreanos como parte de una campaña de larga duración denominada Entrevista contagiosa (también conocido como gwisin pandilla), donde el malware se distribuye a los desarrolladores de software con el pretexto de una evaluación de empleo. Evaluado como un subconjunto del grupo paraguas Lázaroel clúster ha sido activo desde al menos diciembre de 2022.
Con los años, Beaverail también se ha propagado a través de Paquetes de NPM falsos y aplicaciones fraudulentas de videoconferencia de Windows como FCCCall y FreeConference. Escrito en JavaScript, el malware actúa como un robador de información y un descargador para una puerta trasera con sede en Python conocida como InvisibleFerret.
Una evolución importante de la campaña implica el uso de la táctica de ingeniería social de clickfix a entregar malware tales como Golangghost, Pylangghost y FlexibleFerret, un subgrupo de actividad rastreado como Entrevista de ClickFake.
Vale la pena resaltar la última ola de ataque, observada a fines de mayo de 2025, por dos razones: emplear ClickFix para entregar Beavertail (en lugar de Golangghost o FlexibleFerret) y entregar el robador en forma de un binario compilado producido usando herramientas como PKG y Pyinstaller para Windows, MacOS y sistemas Linux.
Una aplicación web de plataforma de contratación falsa creada con VERCEL sirve como un vector de distribución para el malware, con el actor de amenazas que anuncia el comerciante de criptomonedas, las ventas y los roles de marketing en varias organizaciones Web3, así como para instar a los objetivos a invertir en una empresa Web3.
«La orientación del actor de amenaza de los solicitantes de marketing y la suplantación de una organización del sector minorista es notable dado el enfoque habitual de los distribuidores de Beaverail en los desarrolladores de software y el sector de criptomonedas», dijo Smith.
Los usuarios que aterrizan en el sitio tienen sus direcciones IP públicas capturadas y tienen instrucciones de completar una evaluación de video de sí mismos, momento en el cual se muestra un error técnico falso sobre un problema de micrófono inexistente y se les pide a un comando específico del sistema operativo para que supuestamente aborde el problema, lo que conduce a la implementación de una versión más delgada de BeaTrainail, ya sea por medias de un script o script visual básico.
«La variante Beaverail asociada con esta campaña contiene una rutina de robador de información simplificada y se dirige a menos extensiones del navegador», dijo Gitlab. «La variante se dirige solo a ocho extensiones del navegador en lugar de las 22 dirigidas a otras variantes contemporáneas de Beavertail».
Otra omisión importante es la eliminación de funciones relacionadas con el robo de datos de navegadores web que no sean Google Chrome. También se ha encontrado que la versión de Windows de Beaverail se basa en un archivo protegido con contraseña enviado junto con el malware para cargar dependencias de Python relacionadas con InvisibleFerret.
Si bien los archivos protegidos con contraseña son una técnica bastante común que varios actores de amenazas han adoptado durante algún tiempo, esta es la primera vez que el método se utiliza para la entrega de carga útil en relación con Beaverail, lo que indica que los actores de amenaza están refinando activamente sus cadenas de ataque.
Además, la baja prevalencia de artefactos secundarios en la naturaleza y la ausencia de delicadeza de ingeniería social sugieren que la campaña puede haber sido una prueba limitada y poco probable que se desplieguen a escala.
«La campaña sugiere un ligero cambio táctico para un subgrupo de operadores de Beavertail de Corea del Norte, expandiéndose más allá de su desarrollador de software tradicional dirigido a perseguir roles de marketing y comercio en los sectores minoristas y de criptomonedas», dijo Gitlab. «El movimiento a las variantes de malware compiladas y la dependencia continua de las técnicas de ClickFix demuestra una adaptación operativa para alcanzar los objetivos y sistemas menos técnicos sin herramientas de desarrollo de software estándar instaladas».
El desarrollo se produce como una investigación conjunta de Sentinelone, Sentinellabs y Validin descubrieron que al menos 230 individuos han sido atacados por el Entrevista contagiosa Campaña en ataques de entrevistas de trabajo de criptomonedas falsas entre enero y marzo de 2025 por empresas como Archbblock, Robinhood y Etoro.
Esta campaña esencialmente involucrada utilizando temas de ClickFix para distribuir aplicaciones de nodo malicioso.js denominado ContagiousDrop diseñado para implementar malware disfrazado de actualizaciones o utilidades esenciales. La carga útil se adapta al sistema operativo de la víctima y a la arquitectura del sistema. También es capaz de catalogarse de las actividades de las víctimas y provocar una alerta de correo electrónico cuando el individuo afectado comienza la evaluación de habilidades falsas.
«Esta actividad […] involucró a los actores de amenaza que examinan la información de inteligencia de amenazas cibernéticas (CTI) relacionada con su infraestructura «, las compañías anotadoagregando a los atacantes dedicados a un esfuerzo coordinado para evaluar nueva infraestructura Antes de la adquisición, así como monitorear los signos de detección de su actividad a través de Validin, Virustotal y Maltrail.
La información obtenida de tales esfuerzos está destinada a mejorar la resiliencia y la efectividad de sus campañas, así como implementar rápidamente una nueva infraestructura después de los derribos de proveedores de servicios, lo que refleja un enfoque en invertir recursos para mantener sus operaciones en lugar de promulgar amplios cambios para asegurar su infraestructura existente.
«Dado el éxito continuo de sus campañas en objetivos interesantes, puede ser más pragmático y eficiente para los actores de amenaza desplegar una nueva infraestructura en lugar de mantener los activos existentes», dijeron los investigadores. «Los posibles factores internos, como las estructuras de comando descentralizadas o las restricciones de recursos operativos, pueden restringir su capacidad para implementar rápidamente cambios coordinados».
«Su estrategia operativa parece priorizar rápidamente el reemplazo de la infraestructura perdida debido a los esfuerzos de eliminación por parte de los proveedores de servicios, utilizando infraestructura recientemente aprovisionada para mantener su actividad».
Los piratas informáticos de Corea del Norte tienen una larga historia de intentar reunir la inteligencia de amenazas para promover sus operaciones. Ya en 2021, Google y Microsoft reveló que los piratas informáticos respaldados por Pyongyang se dirigieron a investigadores de seguridad que trabajan en la investigación y el desarrollo de vulnerabilidad utilizando una red de blogs falsos y cuentas de redes sociales para robar hazañas.
Luego el año pasado, Sentinelone prevenido de una campaña realizada por Escorrentista (también conocido como apt37) dirigidos a consumidores de informes de inteligencia de amenazas con informes técnicos falsos como señuelos para entregar Rokratuna puerta trasera escrita personalizada utilizada exclusivamente por el grupo de amenazas norcoreanas.
Sin embargo, las recientes campañas de escorruct han presenciado Una especie de desviación, dando el paso inusual de infectar objetivos con ransomware VCD personalizado, junto con un juego de herramientas en evolución que comprende robadores y puertas traseras Chillychino (también conocida como Rustonotto) y Fadestealer. Un implante basado en el óxido, Chillychino es una nueva adición al Arsenal del actor de amenaza de junio de 2025. También es la primera instancia conocida de APT37 que utiliza un malware basado en óxido para apuntar a los sistemas Windows.
Fadestealer, por otro lado, es una herramienta de vigilancia Primero identificado En 2023, está equipado para registrar las teclas de teclas, capturar capturas de pantalla y audio, rastrear dispositivos y medios extraíbles, y exfiltrar datos a través de archivos RAR protegidos por contraseña. Aprovecha la codificación HTTP Post y Base64 para la comunicación con su servidor de comando y control (C2).
La cadena de ataque, por ZSCALER AMENAYLABZimplica el uso de mensajes de phishing de lanza para distribuir archivos zip que contienen accesos directos de Windows (LNK) o Archivos de ayuda (CHM) que suelta Chillychino o su conocida contraparte de PowerShell Chinotto, que luego contacta al servidor C2 para recuperar una carga útil de la próxima etapa responsable de lanzar Fadestealer.
«El descubrimiento de ransomware marca un cambio significativo de las operaciones de espionaje puro hacia una actividad potencialmente motivada y potencialmente destructiva», dijo S2W. «Esta evolución destaca no solo la diversificación funcional sino también un realineamiento estratégico más amplio en los objetivos del grupo».
Nuevas campañas de Kimsuky expuestas
Los hallazgos también se alinean en Corea del Norte Kimsuky (también conocido como APT43) Grupo de piratería, que supuestamente sufrió un incumplimientoprobable exposición el tácticas y herramientas de un actor con sede en China laboral Para el reino ermitaño (o el de un operador chino que emula su artesanía) se ha atribuido a dos campañas diferentes, una de las cuales implica el abuso de repositorios de GitHub para entregar malware y exfiltración de datos del robador.
«El actor de amenaza aprovechó un archivo lnk malicioso [present within ZIP archives] Para descargar y ejecutar scripts basados en PowerShell adicionales de un repositorio de GitHub «, S2W dicho. «Para acceder al repositorio, el atacante incrustó un token privado GitHub codificado directamente dentro del guión».
El script PowerShell recuperado del repositorio viene equipado con capacidades para recopilar metadatos del sistema, incluidos los últimos tiempos de arranque, configuración del sistema y procesos de ejecución; Escriba la información en un archivo de registro; y subirlo al repositorio controlado por el atacante. También descarga un documento de señuelo para evitar plantear cualquier sospecha.
Dado el uso de la infraestructura confiable para fines maliciosos, se aconseja a los usuarios que controlen el tráfico a api.github.com y la creación de tareas sospechosas programadas, lo que indica persistencia.
La segunda campaña vinculada a Kimsuky se refiere al abuso del chatgpt de OpenAi de forjar tarjetas de identificación militar de Deepfake en una campaña de phishing de lanza contra entidades afiliadas a la defensa de Corea del Sur y otras personas centradas en asuntos de Corea del Norte, como investigadores, activistas de derechos humanos y periodistas.
Los correos electrónicos de phishing utilizando el señuelo de la ID de ID militar se observaron el 17 de julio de 2025, luego de una serie de campañas de phishing basadas en ClickFix entre el 12 y el 18 de junio, allanando el camino para el malware que facilita el robo de datos y el control remoto.
Se ha encontrado que la cadena de infección en varias etapas emplea Páginas de verificación de Captcha tipo clickFix Para implementar un script de auto -Autoit que se conecta a un servidor externo para ejecutar comandos de archivo por lotes emitidos por el atacante, la empresa de ciberseguridad de Corea del Sur Genians dicho en un informe publicado la semana pasada.
Alternativamente, el estallido de ataques recientes también se ha basado en mensajes de correo electrónico falsos para redirigir a los usuarios a los usuarios a las páginas de recolección de credenciales, así como enviar mensajes con enlaces atrapados bancados que, cuando se hacen clic, descargan un archivo zip que contiene un archivo LNK, que, a su vez, ejecuta un comando de powerShell a las imágenes sintéticas creadas con el script de Chatgpt y el mismo.
«Esto se clasificó como un ataque adecuado que se hace pasar por una institución relacionada con la defensa de Corea del Sur, disfrazada de que manejaba tareas de emisión de identificación para funcionarios afiliados a los militares», dijo Genians. «Este es un caso real que demuestra la aplicación del grupo Kimsuky de la tecnología Deepfake».
Fuente