AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

DeceptiveDevelopment intensifica ataques a desarrolladores freelance para robar criptomonedas mediante IA y fraude laboral

admin

Introducción

ESET Research ha revelado, en el contexto de la conferencia anual Virus Bulletin (VB), nuevos detalles sobre la campaña maliciosa llevada a cabo por el grupo DeceptiveDevelopment, también conocido como Contagious Interview. Este actor de amenaza, vinculado con Corea del Norte, ha incrementado de forma significativa su actividad en 2023 y 2024, focalizándose en el robo de criptoactivos. El modus operandi del grupo implica la suplantación de ofertas laborales y el uso de técnicas de ingeniería social basadas en inteligencia artificial (IA), dirigidas principalmente a desarrolladores freelance. Este artículo analiza en profundidad los hallazgos técnicos, vectores de ataque, y el impacto que esta campaña está teniendo sobre el sector tecnológico y la economía digital.

Contexto del Incidente

El grupo DeceptiveDevelopment lleva operando desde al menos 2020, aunque su actividad se ha intensificado recientemente. Tradicionalmente, Corea del Norte ha utilizado campañas de cibercrimen para evadir sanciones internacionales y financiar sus programas estatales, con Lazarus Group como exponente más conocido. Sin embargo, DeceptiveDevelopment destaca por su especialización en ataques dirigidos a profesionales independientes en plataformas de trabajo remoto. Utilizando identidades falsas, el grupo contacta a desarrolladores ofreciéndoles supuestas oportunidades laborales en proyectos tecnológicos internacionales, con especial interés en aquellos relacionados con blockchain, DeFi y NFT.

Durante la interacción, los atacantes convencen a sus víctimas para que descarguen y ejecuten herramientas de desarrollo supuestamente necesarias para el proceso de selección, que en realidad contienen malware avanzado capaz de comprometer los sistemas y extraer credenciales, billeteras de criptomonedas y otros datos sensibles.

Detalles Técnicos

El principal vector de ataque identificado es la ingeniería social combinada con el uso de IA generativa para crear perfiles falsos, comunicaciones persuasivas y documentación técnica convincente. Las muestras analizadas por ESET revelan la utilización de troyanos personalizados empaquetados en ejecutables que simulan ser herramientas legítimas de desarrollo, como IDEs, gestores de dependencias y utilidades de revisión de código.

Entre los artefactos detectados destaca un backdoor sin clasificar previamente, que utiliza técnicas de evasión como la ofuscación por polimorfismo y la ejecución en memoria (fileless). Esta puerta trasera permite la exfiltración de claves privadas y archivos de billeteras de criptomonedas (como wallets de MetaMask o Electrum) así como el registro de pulsaciones de teclado y la captura periódica de pantallas.

ESET ha registrado la vinculación de las campañas con los siguientes CVE:

– CVE-2023-38831: Abuso de vulnerabilidad en WinRAR para ejecutar código arbitrario a través de archivos comprimidos maliciosos.
– CVE-2022-30190: Explotación de Follina en Microsoft Office para ejecución remota de código mediante documentos Word manipulados.

En cuanto a TTPs, el grupo utiliza técnicas MITRE ATT&CK como:

– T1192 (Spearphishing Link)
– T1204 (User Execution)
– T1059 (Command and Scripting Interpreter)
– T1114 (Email Collection)
– T1567 (Exfiltration Over Web Service)

Los Indicadores de Compromiso (IoC) incluyen hashes de ejecutables maliciosos, direcciones IP de servidores C2 alojados en infraestructura comprometida de proveedores cloud, y dominios falsificados que simulan plataformas de empleo y recursos de desarrollo.

Impacto y Riesgos

El impacto de la campaña es significativo: según ESET, al menos un 8% de los desarrolladores freelance contactados en plataformas como Upwork y Freelancer han recibido ofertas fraudulentas asociadas a DeceptiveDevelopment en los últimos seis meses. Las pérdidas estimadas por robo de criptomonedas ascienden a más de 3 millones de dólares desde mediados de 2023. Además del perjuicio económico, existe un alto riesgo de compromiso de credenciales corporativas, propiedad intelectual y acceso lateral a infraestructuras de clientes.

El uso de IA generativa ha elevado el nivel de sofisticación de los intentos de phishing, haciendo que las campañas sean más difíciles de detectar incluso para usuarios experimentados. Se estima que la tendencia continuará al alza, ante la creciente demanda global de desarrolladores y la proliferación de trabajos remotos.

Medidas de Mitigación y Recomendaciones

Para mitigar el riesgo asociado a estas campañas, los expertos recomiendan:

– Formación continua en concienciación sobre ingeniería social y ciberamenazas emergentes.
– Verificación exhaustiva de la identidad y reputación de potenciales empleadores en portales de empleo freelance.
– Desconfianza ante solicitudes de instalación de software externo no verificado, especialmente en procesos de selección.
– Implementación de EDR y soluciones de monitorización avanzada en sistemas endpoint.
– Segmentación de entornos de trabajo y uso de máquinas virtuales para pruebas de herramientas de terceros.
– Aplicación inmediata de parches de seguridad para vulnerabilidades críticas como CVE-2023-38831 y CVE-2022-30190.
– Revisión de logs de acceso y análisis de tráfico para detección temprana de actividad anómala.

Opinión de Expertos

Alberto Ruiz, analista jefe de amenazas en ESET España, subraya: “La combinación de ingeniería social apoyada por IA y malware polimórfico está cambiando radicalmente el panorama de amenazas. Los atacantes ya no solo buscan explotar vulnerabilidades técnicas, sino también humanas, aprovechándose del auge del trabajo remoto en desarrollo tecnológico.”

Por su parte, la consultora KPMG advierte que el robo de criptoactivos por parte de actores estatales supone un desafío para la trazabilidad y la aplicación de la legislación vigente (GDPR, NIS2), complicando las labores de atribución y respuesta forense.

Implicaciones para Empresas y Usuarios

Las organizaciones que contratan servicios de desarrollo externo deben extremar precauciones, exigiendo auditorías de seguridad y controles de acceso estrictos. Las plataformas de intermediación laboral también están llamadas a reforzar sus sistemas de verificación y monitorización de actividad fraudulenta, así como a colaborar con las fuerzas de seguridad y CERT nacionales.

Para los usuarios individuales, la recomendación es mantener una política de “Zero Trust” en la gestión de oportunidades profesionales y la protección de sus activos digitales.

Conclusiones

La campaña de DeceptiveDevelopment evidencia una evolución en los métodos de ataque asociados al cibercrimen norcoreano, integrando IA y tácticas de fraude laboral para maximizar el robo de criptomonedas y datos sensibles. Se prevé que este tipo de amenazas siga creciendo, demandando una respuesta coordinada entre profesionales, empresas y organismos reguladores para mitigar su impacto.

(Fuente: www.cybersecuritynews.es)