Las entrevistas de trabajo falsas se convierten en un nuevo arma, los hackers norcoreanos apuntan a más de 3100 IP en la industria de las criptomonedas

La organización de hackers norcoreana PurpleBravo vuelve a actuar. Después de robar más de 2.000 millones de dólares en criptomonedas en 2025, esta organización lanzó el 22 de enero una campaña masiva de reclutamiento falso, llevando a cabo ciberespionaje contra más de 3100 direcciones en línea relacionadas con empresas de inteligencia artificial, criptomonedas y servicios financieros. En esta ocasión, su método de entrada es más encubierto: suplantando a reclutadores o desarrolladores, mediante entrevistas técnicas falsas que inducen a los solicitantes a ejecutar código malicioso en dispositivos empresariales.

El reclutamiento falso se convierte en una nueva vía de ingeniería social

Innovación en las técnicas de ataque

El nuevo proceso de ataque de PurpleBravo parece simple, pero es muy eficiente. Los atacantes primero se hacen pasar por reclutadores de empresas de criptografía o tecnología, contactando a los candidatos. Luego, usando una entrevista técnica como excusa, solicitan al objetivo completar una serie de tareas aparentemente razonables: revisar código, clonar repositorios o realizar tareas de programación. Al ejecutar estas tareas, los solicitantes en realidad están ejecutando código malicioso cuidadosamente preparado por los hackers.

La astucia de este método radica en aprovechar la psicología del solicitante. Las tareas de la entrevista parecen completamente razonables, y los candidatos suelen estar ansiosos por demostrar sus habilidades, lo que reduce su cautela. Para las empresas, los objetivos suelen ser empleados con cierto nivel técnico, quienes generalmente tienen mayores permisos en los sistemas.

Disfraz y infraestructura

Según el análisis de la organización de investigación en seguridad Recorded Future, PurpleBravo ha utilizado múltiples identidades falsas, incluyendo una identidad ucraniana ficticia. Han desplegado dos principales troyanos de acceso remoto:

• PylangGhost: capaz de robar automáticamente credenciales de navegadores y cookies
• GolangGhost: también con capacidad de robo de credenciales

Además, los hackers desarrollaron una versión armada de Microsoft Visual Studio Code, que inserta puertas traseras mediante repositorios Git maliciosos. Su infraestructura está bastante bien desarrollada, utilizando Astrill VPN y 17 proveedores de servicios para alojar servidores de malware.

Amenaza específica para la industria de las criptomonedas

¿Por qué la industria de las criptomonedas es un objetivo principal?

De los más de 3100 objetivos en esta campaña, una proporción significativa son empresas de criptomonedas. Esto no es casualidad. Los empleados del sector cripto suelen tener acceso a activos de alto valor, como claves privadas y permisos en billeteras, por lo que si son comprometidos, los hackers pueden transferir fondos directamente. Además, la defensa de las empresas de criptomonedas suele ser menos madura que la de las instituciones financieras tradicionales.

De las 20 organizaciones afectadas confirmadas, se distribuyen en Asia del Sur, Norteamérica, Europa, Oriente Medio y Centroamérica. Esto indica que PurpleBravo tiene objetivos claros en todo el mundo.

Señales adicionales de amenaza

Los investigadores de seguridad también detectaron que canales de Telegram relacionados están vendiendo cuentas de LinkedIn y Upwork, y que los atacantes han interactuado con la plataforma de intercambio de criptomonedas MEXC Exchange. Esto sugiere que los hackers podrían estar construyendo una cadena de suministro completa: obteniendo información de identidad real, creando perfiles falsos de búsqueda de empleo, ejecutando ataques y monetizando los activos robados.

Cómo responder las empresas

Claves para la defensa

Para las empresas de criptomonedas y tecnología, defenderse de este tipo de ataques requiere múltiples capas de protección:

• Verificación del proceso de reclutamiento: confirmar las invitaciones a entrevistas a través de canales oficiales, usando correos electrónicos corporativos en lugar de terceros
• Capacitación del personal: informar a los técnicos sobre las nuevas técnicas de ingeniería social, incluso si las tareas parecen razonables, mantener la cautela
• Revisión de código: examinar rigurosamente cualquier código externo, no ejecutarlo directamente en producción
• Control de acceso: limitar los permisos en los dispositivos de los empleados, usar máquinas virtuales aisladas para tareas no confiables
• Monitoreo y alertas: desplegar herramientas de detección y respuesta en endpoints (EDR), monitorear accesos a credenciales y conexiones de red anómalas

Resumen

El reclutamiento falso mediante entrevistas representa una nueva dirección en las técnicas de ingeniería social de los hackers. En comparación con los correos de phishing tradicionales, este método es más dirigido, aprovechando la psicología de los solicitantes y las vulnerabilidades en los procesos de reclutamiento de las empresas. Para la industria de las criptomonedas, la actividad continua de PurpleBravo indica que los hackers norcoreanos siguen considerando a este sector como un objetivo principal. Las empresas deben reconocer que los empleados con altas habilidades son las puertas de entrada más vulnerables, y la defensa clave radica en establecer procesos de verificación de reclutamiento completos y en concienciar a los empleados sobre seguridad. Además, la compartición de información y la colaboración en la defensa dentro del sector son cada vez más importantes.