Actores de amenazas vinculados a Corea del Norte están intensificando sus operaciones cibernéticas, utilizando herramientas de malware descentralizadas y evasivas, según los nuevos hallazgos de Cisco Talos y Google Threat Intelligence Group.
Las campañas tienen como objetivo robar criptomonedas, infiltrarse en las redes y evadir los controles de seguridad a través de sofisticadas estafas de reclutamiento.
La evolución de las técnicas de malware para la evasión
Los investigadores de Cisco Talos identificaron una campaña en curso del grupo norcoreano Famous Chollima, que utilizaba dos cepas de malware complementarias: BeaverTail y OtterCookie.
Estos programas, utilizados tradicionalmente para el robo de credenciales y la exfiltración de datos, han evolucionado para incorporar nuevas funcionalidades y una interacción más estrecha.
En un incidente reciente que afectó a una organización de Sri Lanka, los atacantes engañaron a un solicitante de empleo para que instalara un código malicioso disfrazado de evaluación técnica.
Aunque la organización en sí no era un objetivo directo, los analistas de Cisco Talos observaron un módulo de keylogging y captura de pantalla vinculado a OtterCookie. Este módulo registraba de forma encubierta las pulsaciones del teclado y capturaba imágenes del escritorio, transmitiéndolas automáticamente a un servidor de comandos remoto.
Esta observación subraya la continua evolución de los grupos de amenazas alineados con Corea del Norte y su enfoque en técnicas de ingeniería social para comprometer a objetivos desprevenidos.
Blockchain utilizado como infraestructura de comando
El Grupo de Inteligencia de Amenazas de Google (GTIG) identificó una operación del actor vinculado a Corea del Norte, UNC5342. El grupo utilizó un nuevo malware llamado EtherHiding.
Esta herramienta oculta cargas maliciosas de JavaScript en una cadena de bloques pública, transformándola en una red descentralizada de mando y control (C2).
Utilizando la cadena de bloques, los atacantes pueden modificar a distancia el comportamiento del malware sin recurrir a los servidores tradicionales. En consecuencia, las acciones de las fuerzas de seguridad se vuelven mucho más difíciles.
Además, GTIG informó que UNC5342 aplicó EtherHiding en una campaña de ingeniería social llamada Contagious Interview, previamente identificada por Palo Alto Networks, lo que demuestra la persistencia de los actores de amenazas alineados con Corea del Norte.
Destinatarios: profesionales del sector criptográfico
Según los investigadores de Google, estas ciberoperaciones suelen comenzar con anuncios de empleo fraudulentos dirigidos a profesionales de los sectores de la criptomoneda y la ciberseguridad.
Se invita a las víctimas a participar en falsas evaluaciones, durante las cuales se les pide que descarguen archivos que contienen código malicioso.
¿Qué es EtherHiding?
- blackorbird (@blackorbird) 16 de octubre de 2025
Es una novedosa técnica en la que los atacantes incrustan cargas útiles maliciosas (como el malware JADESNOW e INVISIBLEFERRET) dentro de contratos inteligentes en blockchains públicas (como BNB Smart Chain y Ethereum). https://t.co/AyKeSuPyWW pic.twitter.com/we4NV2PTu5
En el proceso de infección suelen intervenir varias familias de malware, como JadeSnow, BeaverTail e InvisibleFerret. Juntas, estas herramientas permiten a los atacantes acceder a los sistemas, robar credenciales y desplegar ransomware de forma eficaz. Sus objetivos finales van desde el espionaje y el robo financiero hasta la infiltración en la red a largo plazo.
Cisco y Google han publicado Indicadores de Compromiso (IOC) para ayudar a las organizaciones a detectar y responder a las ciberamenazas en curso vinculadas a Corea del Norte. Los investigadores advierten de que la integración de blockchain y el malware modular probablemente seguirán complicando los esfuerzos de defensa de la ciberseguridad global.
