Los ciberdelincuentes han dejado de atacar a programadores: ahora se fijan en marketing y ventas
Los ciberdelincuentes descubren que los empleados poco preparados son víctimas con mucha más frecuencia.
GitLab publicó un informe sobre una nueva oleada de ataques, en el que el investigador Oliver Smith analizó el cambio de tácticas del grupo cibernético norcoreano que emplea las conocidas familias de malware BeaverTail e InvisibleFerret. El documento describe una campaña en la que los atacantes abandonaron la orientación habitual hacia desarrolladores y comenzaron a usar técnicas ClickFix para dirigirse a candidatos en marketing, ventas y comercio minorista, así como a ofertas de empleo en empresas Web3.
BeaverTail — un stealer en JavaScript, conocido como cargador del backdoor en Python InvisibleFerret — fue descrito en detalle por primera vez por Palo Alto Networks a finales de 2023; desde entonces los atacantes lo difundieron mediante paquetes npm falsos y aplicaciones de videoconferencia fraudulentas como FCCCall y FreeConference.
El grupo, etiquetado como Contagious Interview o Gwisin Gang y atribuido a la estructura más amplia Lazarus, está activo desde diciembre de 2022 y anteriormente camuflaba sus herramientas maliciosas como tareas para desarrolladores.
La nueva oleada, detectada a finales de mayo de 2025, destaca porque los atacantes usaron trampas ClickFix para entregar binarios compilados de BeaverTail, creados con utilidades como pkg y PyInstaller para Windows, macOS y Linux. Como vector se empleó una aplicación falsa de selección de personal alojada en la plataforma Vercel, donde los atacantes publicaban ofertas para trader, comercial y especialista en marketing, y también ofrecían supuestas inversiones en un proyecto Web3.
El contador registraba la IP pública de los visitantes y luego se les pedía realizar una evaluación en vídeo; ante un 'error de micrófono' se solicitaba a la víctima ejecutar un comando para su sistema operativo — paso que llevaba a la ejecución de scripts de shell o Visual Basic Script e instalaba una versión ligera de BeaverTail.
Las modificaciones observadas indican una adaptación operativa: la nueva compilación contiene un módulo de robo de datos simplificado y está dirigida solo a ocho extensiones de navegador en lugar de las habituales veintidós, mientras que se eliminaron las funciones de recopilación de información de navegadores distintos de Google Chrome. Además, se registró por primera vez el uso de archivos comprimidos protegidos con contraseña para entregar dependencias de Python de InvisibleFerret — una técnica que complica el análisis y evita detecciones simples. La baja prevalencia de rastros adicionales y la ausencia de una ingeniería social elaborada sugieren que pudo tratarse de un ensayo en lugar de una campaña a gran escala.
El cambio de enfoque hacia candidatos menos técnicos y el paso a imágenes compiladas indican la intención de eludir limitaciones en entornos sin herramientas de desarrollo — los operadores siguen experimentando con cadenas de entrega, ampliando el alcance y reduciendo la barrera de entrada para lograr una intrusión exitosa. La monitorización de los vectores mencionados y la verificación de ofertas sospechosas en plataformas de despliegue de aplicaciones siguen siendo medidas clave contra este tipo de esquemas.
Tu privacidad está muriendo lentamente, pero nosotros podemos salvarla