Actores norcoreanos actualizan la campaña Contagious Interview: ahora distribuyen malware vía servicios JSON

Introducción

La actividad cibercriminal patrocinada por estados sigue evolucionando de forma constante. Un ejemplo claro es el del grupo norcoreano responsable de la campaña “Contagious Interview”, que recientemente ha modificado sus tácticas para emplear servicios de almacenamiento JSON en la distribución de cargas maliciosas. Según los últimos hallazgos de los investigadores de NVISO, los atacantes están aprovechando plataformas como JSON Keeper, JSONsilo y npoint.io para alojar y entregar malware, camuflándolo dentro de proyectos de código aparentemente legítimos. Este movimiento representa un salto cualitativo en el uso de infraestructuras legítimas para evadir controles de seguridad y mejorar la persistencia de la amenaza.

Contexto del Incidente

La campaña Contagious Interview, atribuida a la amenaza persistente avanzada (APT) norcoreana conocida como Lazarus Group o UNC2970, tiene como objetivo principal la captación y explotación de profesionales del sector tecnológico y de ciberseguridad. Desde mediados de 2022, sus operadores han desplegado campañas dirigidas a través de supuestas ofertas de trabajo, entrevistas técnicas y colaboraciones de código abierto, utilizando el spear phishing y la ingeniería social como principales vectores de entrada.

Hasta hace poco, las cargas útiles se distribuían mediante archivos adjuntos, enlaces directos o servicios de almacenamiento en la nube tradicionales. Sin embargo, los recientes cambios, detectados entre finales de mayo y junio de 2024, muestran que los atacantes han optado por infraestructuras menos sospechosas y más difíciles de bloquear por los controles tradicionales de seguridad perimetral.

Detalles Técnicos

Los investigadores de NVISO han identificado que los operadores de la campaña están empleando servicios públicos de almacenamiento JSON como JSON Keeper, JSONsilo y npoint.io. Estos servicios permiten almacenar y consultar datos JSON de forma pública y gratuita, lo que facilita la entrega discreta de cargas maliciosas.

El vector de ataque habitual comienza con el envío de proyectos de código trojanizados (frecuentemente vinculados a herramientas de desarrollo, librerías o plugins populares en GitHub) a través de mensajes personalizados, simulando procesos de selección laboral. Dentro de estos proyectos, los scripts maliciosos incorporan instrucciones para llamar, a través de peticiones HTTP, a recursos JSON alojados en los servicios mencionados. Estos recursos contienen, en formato ofuscado, shellcodes, URLs de segunda fase o instrucciones para la descarga de binarios adicionales.

Entre los CVE explotados en campañas previas por este grupo destaca CVE-2022-30190 (Follina), aunque la táctica actual se basa más en la manipulación de la cadena de suministro y el abuso de la confianza entre desarrolladores. Se han observado TTPs (Técnicas, Tácticas y Procedimientos) alineadas con MITRE ATT&CK, destacando:

– T1566.001: Spearphishing Attachment
– T1195: Supply Chain Compromise
– T1204: User Execution
– T1105: Ingress Tool Transfer

Entre los indicadores de compromiso (IoC) identificados se encuentran URLs de los servicios JSON con nombres de recursos aparentemente benignos, pero que contienen scripts altamente ofuscados y payloads cifrados.

Impacto y Riesgos

El uso de servicios JSON públicos complica significativamente la detección y el bloqueo de la infraestructura maliciosa. Plataformas como JSON Keeper o npoint.io no suelen estar en listas negras y pueden eludir soluciones de filtrado basadas en reputación o categorización de dominio. Esto incrementa el riesgo de ejecución no autorizada de payloads dentro de entornos corporativos, especialmente en organizaciones con políticas BYOD o desarrolladores con acceso a recursos externos.

El impacto potencial incluye desde la exfiltración de credenciales y secretos corporativos hasta la implantación de puertas traseras persistentes (backdoors) y la distribución de malware modular, incluyendo RATs y herramientas de post-explotación asociadas a frameworks como Cobalt Strike o Metasploit.

Medidas de Mitigación y Recomendaciones

Se recomienda a los equipos de ciberseguridad reforzar la monitorización de tráfico HTTP/HTTPS saliente, prestando especial atención a peticiones dirigidas a servicios de almacenamiento de datos no convencionales. Es fundamental analizar los proyectos de código externo antes de su ejecución, incluso si provienen de fuentes aparentemente confiables.

Otras medidas incluyen:

– Segmentación de redes y limitación de acceso a recursos externos para estaciones de desarrollo.
– Implementación de listas blancas de dominios permitidos.
– Revisión periódica de logs de acceso y detección de patrones anómalos de tráfico.
– Actualización de firmas y reglas en EDR, SIEM y soluciones de firewall para identificar IoCs asociados.

Opinión de Expertos

Bart Parys y Stefaan Vanroose, investigadores de NVISO, subrayan que el uso de servicios públicos de almacenamiento JSON representa una evolución preocupante en las técnicas de evasión. “Los actores de amenazas buscan constantemente métodos para almacenar y distribuir payloads sin levantar sospechas. El abuso de plataformas legítimas complica la atribución y ralentiza la respuesta ante incidentes”, afirman.

Implicaciones para Empresas y Usuarios

Para las empresas, especialmente aquellas reguladas bajo normativas como GDPR, NIS2 o la Ley de Seguridad de las Redes y Sistemas de Información, este tipo de campañas incrementa el riesgo de fugas de datos y brechas de cumplimiento. Los equipos de RRHH y desarrollo son especialmente vulnerables, por lo que es crucial fortalecer la formación en ciberseguridad y la revisión de procesos de incorporación y colaboración externa.

Conclusiones

La adaptación de los actores norcoreanos de la campaña Contagious Interview al uso de servicios JSON públicos demuestra la sofisticación y resiliencia de las amenazas estatales. Esta táctica eleva el nivel de dificultad en la detección y respuesta, obligando a los equipos de ciberseguridad a revisar y reforzar sus medidas de defensa, especialmente en la monitorización de tráfico y la gestión de la cadena de suministro de software. La vigilancia proactiva y la colaboración entre los distintos actores del sector serán clave para mitigar este tipo de amenazas en constante evolución.

(Fuente: feeds.feedburner.com)