Tomas Daniels
En una sofisticada campaña de ciberespionaje, el Grupo Lazarus de Corea del Norte ha establecido tres empresas fantasma —BlockNovas LLC, SoftGlide LLC y Angeloper Agency— para distribuir malware dirigido a desarrolladores de criptomonedas. Dos de estas entidades, BlockNovas y SoftGlide, se registraron legalmente en Estados Unidos con documentación falsificada, en violación de las sanciones internacionales.
La campaña, bautizada como "Entrevista Contagiosa" por los analistas de ciberseguridad de Silent Push, consiste en la creación de falsas consultoras de criptomonedas para atraer a desarrolladores a entrevistas de trabajo fraudulentas. Durante estas entrevistas, se solicita a los solicitantes que graben vídeos de presentación. Al encontrar un mensaje de error activado deliberadamente, se les proporciona una "solución" de copia y pega que instala malware de forma encubierta.
Se implementan tres cepas distintas: BeaverTail, InvisibleFerret y OtterCookie. BeaverTail permite principalmente la distribución de malware y el robo de información, mientras que InvisibleFerret y OtterCookie están diseñadas para extraer datos confidenciales, como claves privadas y contenido del portapapeles.
Zach Edwards, analista sénior de amenazas de Silent Push, enfatizó que estas operaciones forman parte de los esfuerzos más amplios de Corea del Norte para generar ingresos mediante el robo cibernético, supuestamente para apoyar su programa de armas nucleares. El FBI ha tomado medidas confiscando el dominio asociado con BlockNovas, aunque otras infraestructuras, como SoftGlide, siguen operativas.
Esta operación en curso, rastreada inicialmente desde 2024, ya se ha cobrado varias víctimas conocidas. Al menos un desarrollador informó que su billetera MetaMask fue comprometida. Mientras tanto, otros han frustrado intentos de llamadas falsas de Zoom orquestadas por impostores que se hacen pasar por posibles empleadores.
El Grupo Lazarus sigue siendo un sospechoso clave detrás de algunos de los mayores robos cibernéticos en el espacio Web3, incluida la violación de la red Ronin de 600 millones de dólares y el ataque a Bybit de 1.4 millones de dólares.
