Los hackers norcoreanos, Famous Chollima, apuntaron a expertos en criptomonedas con falsas entrevistas de trabajo diseñadas para robar sus datos y desplegar malware en sus dispositivos. El malware robó credenciales de más de 80 extensiones de navegador, incluidos gestores de contraseñas y billeteras de criptomonedas como Metamask, 1Password, NordPass, Phantom, Bitski, Initia, TronLink y MultiverseX.

El miércoles, la firma de investigación de inteligencia de amenazas Cisco Talos informó que Famous Chollima se hizo pasar por empresas legítimas y dirigió a víctimas desprevenidas a sitios web de prueba de habilidades donde las víctimas ingresaron detalles personales y respondieron preguntas técnicas.

Los sitios de prueba de habilidades falseaban empresas reales como Coinbase, Archblock, Robinhood, Parallel Studios, Uniswap y otras, lo que ayudó con la orientación.

Solo unos pocos usuarios, predominantemente en India, se vieron afectados según la inteligencia de código abierto. Dileep Kumar H V, director de Digital South Belief, aconsejó que para contrarrestar estos fraudes, India debería exigir auditorías de ciberseguridad para las corporaciones de blockchain y monitorear portales de trabajo falsos. También pidió una coordinación global más fuerte sobre el cibercrimen transfronterizo y campañas de concienciación digital.

Talos sigue el fraude y confirma una conexión norcoreana

🚨 𝗔𝗟𝗘𝗥𝗧𝗔: 𝗟𝗼𝘀 𝗵𝗮𝗰𝗸𝗲𝗿𝘀 𝗻𝗼𝗿𝗰𝗼𝗿𝗲𝗮𝗻𝗼𝘀 𝗲𝘀𝘁𝗮𝗻 𝗮𝗽𝘂𝗻𝘁𝗮𝗻𝗱𝗼 𝗮 𝗽𝗿𝗼𝗳𝗲𝘀𝗶𝗼𝗻𝗮𝗹𝗲𝘀 𝗱𝗲 𝗯𝗹𝗼𝗰𝗰𝗵𝗮𝗶𝗻 𝗰𝗼𝗻 𝗻𝘂𝗲𝘃𝗼 𝗺𝗮𝗹𝘄𝗮𝗿𝗲 𝗱𝗲 𝗿𝗼𝗯𝗼 𝗱𝗲 𝗶𝗻𝗳𝗼.

𝗗𝗶𝘀𝗴𝘂𝗶𝘀𝗲𝗱 𝗮𝘀 𝗳𝗮𝗸𝗲 𝗰𝗿𝘆𝗽𝘁𝗼 𝗷𝗼𝗯 𝘀𝗶𝘁𝗲𝘀 — 𝗯𝗲 𝗰𝗮𝗿𝗲𝗳𝘂𝗹… pic.twitter.com/wt4pe5o1Zg

— Mayank Dudeja (@imcryptofreak) 20 de junio de 2025

La firma de investigación en ciberseguridad Cisco Talos afirmó que el nuevo troyano de acceso remoto basado en Python llamado “PylangGhost” vinculaba malware a un colectivo de hacking afiliado a Corea del Norte llamado “Famous Chollima,” también conocido como “Wagemole.”

La firma también reveló que el malware PylangGhost era funcionalmente equivalente al RAT GolangGhost documentado anteriormente, compartiendo muchas de las mismas capacidades. Famous Chollima utilizó la variante basada en Python para apuntar a sistemas Windows, mientras que la versión de Golang estaba dirigida a usuarios de macOS. Los sistemas Linux fueron excluidos de estos últimos ataques.

Según Talos, el grupo de actores de amenazas ha estado activo desde 2024 a través de varias campañas bien documentadas. Estas campañas incluyeron el uso de variantes de Contagious Interview (también conocido como Deceptive Development) y la creación de anuncios de trabajo falsos y páginas de prueba de habilidades. Se instruyó a los usuarios a copiar y pegar (ClickFix) una línea de comando maliciosa para instalar los controladores necesarios para llevar a cabo la etapa final de prueba de habilidades.

Los candidatos en el último esquema descubierto en mayo fueron instruidos para habilitar el acceso a la cámara para una entrevista en video y se les pidió que copiaran y ejecutaran comandos maliciosos disfrazados de instalaciones de controladores de video. Así, terminaron usando PylangGhost en sus dispositivos. La ejecución comenzó con el archivo “nvidia.py,” que realizó varias tareas: creó un valor de registro para lanzar el RAT cada vez que un usuario iniciaba sesión en el sistema, generó un GUID para que el sistema se utilizara en la comunicación con el servidor de comando y control (C2), se conectó al servidor C2 y entró en el bucle de comandos para la comunicación con el servidor.

Según Cisco Talos, “Las instrucciones para descargar el supuesto arreglo son diferentes según la huella del navegador, y también se dan en el lenguaje de shell apropiado para el SO: PowerShell o Command Shell para Windows, y Bash para MacOS.”

Talos observó que, aparte de robar fondos directamente de intercambios, los hackers de Famous Chollima se han centrado últimamente en profesionales de criptomonedas para recopilar información y posiblemente infiltrarse en empresas de criptomonedas desde dentro. A principios de este año, los hackers norcoreanos establecieron empresas estadounidenses falsas, BlockNovas LLC y SoftGlide LLC, para distribuir malware a través de entrevistas de trabajo fraudulentas antes de que el FBI incautara el dominio BlockNovas.

Corea del Norte emerge como un centro de esquemas de hacking notorios

En diciembre de 2024, el hackeo de Radiant Capital por $50 millones comenzó cuando actores de Corea del Norte se hicieron pasar por contratistas anteriores y enviaron PDFs cargados de malware a ingenieros. El impostor compartió un archivo zip bajo el disfraz de pedir retroalimentación sobre un nuevo proyecto en el que estaban trabajando.

Una declaración conjunta de Japón, Corea del Sur y EE.UU. también confirmó que grupos respaldados por Corea del Norte, incluyendo Lazarus, robaron al menos $659 millones a través de múltiples robos de criptomonedas en 2024. Los enviados señalaron que los trabajadores de Corea del Norte en el extranjero, incluidos especialistas en TI involucrados en “actividades cibernéticas maliciosas,” fueron un factor importante en la capacidad del régimen para financiar sus programas de armas a través del robo y lavado de fondos, incluida la criptomoneda.

La VP de investigaciones de Chainalysis, Erin Plante, confirmó que los hackers vinculados a Corea del Norte fueron de lejos los hackers de criptomonedas más prolíficos en los últimos años. En 2022, rompieron sus propios récords de robo, robando un estimado de $1.7 mil millones en criptomonedas a través de varios hacks, en comparación con $428.8 millones en 2021.

Sin embargo, en mayo, el intercambio de criptomonedas Kraken reveló que había identificado y frustrado con éxito a un operativo norcoreano que había solicitado un puesto de TI. Kraken atrapó al solicitante cuando no pasó las pruebas básicas de verificación de identidad durante las entrevistas.

Diferencia clave Wire: la herramienta secreta que los proyectos de criptomonedas utilizan para obtener cobertura mediática garantizada