Se identificaron hasta 3136 direcciones IP únicas asociadas con posibles objetivos de actividad de entrevista contagiosa. La campaña convoca a 20 organizaciones víctimas potenciales en los campos de la inteligencia artificial (IA), las criptomonedas, los servicios financieros, los servicios de TI, el marketing y el desarrollo de software en Europa, el sur de Asia, Oriente Medio y América Central.
Los nuevos hallazgos provienen de Insikt Group de Recorded Future, que usa ese nombre para rastrear el grupo de actividades de amenazas de Corea del Norte. PúrpuraBravo. La campaña, documentada por primera vez a finales de 2023, también se conoce como CL-STA-0240, DeceivedDevelopment, DEV#POPPER, Famous Chollima, Gwisin Gang, Tenacious Pungsan, UNC5342, Void Dokkaebi y WaterPlum.
Se estima que las 3.136 direcciones IP únicas, en su mayoría concentradas en el sur de Asia y América del Norte, fueron el objetivo del atacante entre agosto de 2024 y septiembre de 2025. Se dice que las 20 empresas víctimas tienen su sede en Bélgica, Bulgaria, Costa Rica, India, Italia, Países Bajos, Pakistán, Rumania, Emiratos Árabes Unidos (EAU) y Vietnam.
“En varios casos, es probable que los candidatos que buscan empleo hayan ejecutado códigos maliciosos en los dispositivos de la empresa, lo que ha resultado en un compromiso organizacional más allá del objetivo individual”, dijo la firma de inteligencia de amenazas en un nuevo informe compartido con The Hacker News.
La revelación llega un día después de que Jamf Threat Labs detallara una iteración significativa de la campaña Contagious Interview en la que los atacantes utilizaron proyectos maliciosos de Microsoft Visual Studio Code (VS Code) como vector de ataque para difundir una puerta trasera, lo que subraya la explotación continua de los flujos de trabajo de desarrolladores confiables para lograr su doble objetivo de ciberespionaje y robo financiero.
La compañía propiedad de Mastercard dijo que descubrió cuatro personas de LinkedIn potencialmente vinculadas a PurpleBravo haciéndose pasar por desarrolladores y reclutadores y afirmando ser de la ciudad ucraniana de Odessa, así como varios repositorios maliciosos de GitHub destinados a difundir familias de malware conocidas como BeaverTail.
También se ha observado que PurpleBravo mantiene dos conjuntos diferentes de servidores de comando y control (C2) para BeaverTail, un cargador y ladrón de información de JavaScript, y una puerta trasera basada en Go llamada GolangGhost (también conocida como FlexibleFerret o WeaselStore), que se basa en la herramienta de código abierto HackBrowserData.
Los servidores C2, alojados por 17 proveedores diferentes, se administran a través de Astrill VPN y rangos de IP en China. El uso de Astrill VPN por parte de actores de amenazas norcoreanos en ciberataques ha sido bien documentado a lo largo de los años.
Vale la pena señalar que “Contagious Interview” complementa una segunda campaña separada llamada “Wagemole” (también conocida como “PurpleDelta”), en la que los empleados de TI de los actores de Hermit Kingdom buscan empleo ilícito bajo identidades fraudulentas o robadas en organizaciones con sede en los Estados Unidos y otras partes del mundo para obtener ganancias financieras y espionaje.
Aunque los dos grupos se tratan como conjuntos diferentes de actividades, existe una importante superposición táctica y de infraestructura entre ellos, aunque la amenaza para los trabajadores de TI existe desde 2017.
“Esto probablemente incluye actividad de un operador de PurpleBravo consistente con el comportamiento de los empleados de TI de Corea del Norte, direcciones IP en Rusia asociadas con empleados de TI de Corea del Norte que se comunican con los servidores PurpleBravo C2 y tráfico administrativo de la misma dirección IP de Astrill VPN asociada con la actividad de PurpleDelta”, dijo Recorded Future.
Para empeorar las cosas, los candidatos a los que PurpleBravo se acerca con ofertas de trabajo ficticias realizan el examen de codificación en dispositivos proporcionados por la empresa, comprometiendo efectivamente a sus empleadores. Esto subraya que la cadena de suministro de software de TI es “igual de vulnerable” a la infiltración de adversarios norcoreanos distintos de los trabajadores de TI.
“Muchas de estas organizaciones (víctimas potenciales) anuncian grandes bases de clientes y representan un grave riesgo para la cadena de suministro para las empresas que subcontratan su trabajo en estas regiones”, señaló la empresa. “Si bien la amenaza al empleo de la fuerza laboral de TI de Corea del Norte ha sido ampliamente publicitada, el riesgo de la cadena de suministro de PurpleBravo merece la misma atención para que las empresas puedan prepararse, defender y evitar la divulgación de datos confidenciales a los actores de amenazas de Corea del Norte”.
About The Author
