El "reclutador de Odesa" con acento norcoreano: cómo PurpleBravo estafa a profesionales de TI de todo el mundo
El pliego técnico resultó ser el cebo perfecto para decenas de empresas.
El grupo norcoreano PurpleBravo lleva más de un año realizando una campaña maliciosa dirigida llamada Contagious Interview, en la que se usaron entrevistas falsas para atacar a empresas en Europa, Asia, Oriente Medio y Centroamérica. Los especialistas de la empresa Recorded Future identificaron 3136 direcciones IP presuntamente relacionadas con los objetivos de esta operación, así como 20 organizaciones afectadas. Entre ellas hay empresas de inteligencia artificial, criptomonedas, finanzas, servicios de TI, marketing y desarrollo de software.
Los ataques se realizaron desde agosto de 2024 hasta septiembre de 2025. La mayor cantidad de direcciones IP objetivo se registró en el sur de Asia y en Norteamérica. Las empresas afectadas tenían sede en Bélgica, Bulgaria, India, Italia, Costa Rica, Países Bajos, Emiratos Árabes Unidos, Pakistán, Rumanía y Vietnam. Los autores del informe señalan que en algunos casos el código malicioso se ejecutó directamente en los dispositivos de trabajo, tras lo cual el riesgo trascendió al usuario individual y se propagó por toda la organización.
Uno de los mecanismos de infección fue la sustitución de proyectos en Visual Studio Code. A los usuarios se les ofrecían tareas con archivos maliciosos que se hacían pasar por proyectos de trabajo. Esto permitía a los atacantes instalar puertas traseras y obtener acceso a la infraestructura corporativa.
También se detectaron perfiles falsos en LinkedIn, controlados por integrantes de PurpleBravo. Se presentaban como desarrolladores y reclutadores supuestamente ubicados en Odesa y usaron varios repositorios en GitHub para distribuir código malicioso.
El equipo PurpleBravo opera al menos dos conjuntos de servidores de comando y control para distintos tipos de malware. Uno de ellos es un infostealer en JavaScript llamado BeaverTail; el otro es la puerta trasera GolangGhost, escrita en Go y basada en el proyecto de código abierto HackBrowserData. Los servidores están alojados en 17 proveedores distintos, se administran a través del servicio VPN Astrill y usan direcciones IP provenientes de China.
Paralelamente a Contagious Interview existe otra actividad llamada Wagemole. En ese esquema, empleados de Corea del Norte se incorporan a empresas extranjeras ocultando su origen. A pesar de las diferencias, entre ambas operaciones se han observado coincidencias en la infraestructura y las tácticas empleadas. Se registraron casos en los que la misma dirección IP asociada a PurpleBravo también se utilizó para gestionar la actividad vinculada a Wagemole.
Una de las vulnerabilidades clave que explota PurpleBravo es la confianza de las empresas en contratistas externos y candidatos. Los atacantes envían tareas supuestamente para evaluación técnica, y los candidatos, sin sospechar la amenaza, ejecutan el código malicioso en los dispositivos provistos. Este esquema provoca que la compromisión no ocurra a nivel de una sola persona, sino de toda la organización de inmediato. Son especialmente vulnerables las empresas con una gran base de clientes, lo que genera riesgos serios para la cadena de suministro de software.