Una nueva ola de ciberataques atribuidos a actores norcoreanos ha puesto en alerta a la comunidad de ciberseguridad global. Estos atacantes, responsables de la campaña conocida como Contagious Interview, están utilizando versiones actualizadas de un malware sofisticado y multiplataforma denominado OtterCookie. Esta herramienta maliciosa es capaz de robar credenciales de navegadores web, extraer información confidencial de extensiones como MetaMask y evadir entornos de análisis mediante técnicas avanzadas de detección de máquinas virtuales.
WaterPlum: el grupo detrás del malware
La empresa japonesa de ciberseguridad NTT Security Holdings ha identificado y rastreado este clúster bajo el nombre WaterPlum, también conocido como CL-STA-0240, DeceptiveDevelopment, DEV#POPPER, Famous Chollima, PurpleBravo y Tenacious Pungsan. Desde septiembre de 2024, estos actores maliciosos han estado distribuyendo el malware OtterCookie a través de múltiples canales, incluidos paquetes npm troyanizados, repositorios maliciosos en GitHub y Bitbucket, y aplicaciones de videoconferencia falsas.
OtterCookie v3 y v4: evolución constante del malware
En febrero y abril de 2025, NTT detectó las versiones v3 y v4 del malware, lo que evidencia una mejora continua por parte de sus desarrolladores. La versión 3 incorpora un nuevo módulo de carga que envía al servidor de comando y control archivos que coincidan con extensiones predefinidas. Entre ellos se encuentran imágenes, documentos, hojas de cálculo, archivos de texto y, especialmente preocupante, frases mnemotécnicas asociadas con billeteras de criptomonedas.
La versión 4 de OtterCookie amplía aún más sus capacidades al añadir dos nuevos módulos. El primero descifra y roba credenciales almacenadas en Google Chrome, mientras que el segundo extrae datos cifrados de navegadores como Chrome y Brave, así como de la extensión MetaMask y del llavero de iCloud. También se incluye la capacidad de detectar si se ejecuta en entornos virtualizados pertenecientes a Broadcom, VMware, Oracle, VirtualBox, Microsoft y QEMU.
Diversidad en el desarrollo: múltiples autores
Según los investigadores Masaya Motoda y Rintaro Koike, la forma en la que los módulos manejan los datos sugiere que fueron desarrollados por diferentes equipos o personas, lo que podría indicar la participación de múltiples subgrupos dentro del aparato de ciberinteligencia norcoreano.
Nuevas campañas con malware adicional
La campaña Contagious Interview no se limita a OtterCookie. Se ha identificado un ladrón de información desarrollado en Go, distribuido bajo el disfraz de una supuesta actualización de controlador Realtek, que al ejecutarse lanza un script de shell y una aplicación falsa para macOS llamada DriverMinUpdate.app. Esta app recopila contraseñas del sistema operativo y establece un canal de comunicación persistente con el servidor C2.
También se ha vinculado una segunda familia de malware, denominada Tsunami-Framework, la cual actúa como una carga útil secundaria entregada por una puerta trasera en Python conocida como InvisibleFerret. Este malware modular en .NET permite desde la exfiltración de archivos hasta el registro de pulsaciones de teclas y la posible construcción de una botnet, actualmente en fase temprana.
Lazarus Group: espionaje y robo para financiar al régimen
Según ESET, estos ataques estarían orquestados por el infame Grupo Lazarus, uno de los grupos de ciberamenazas más activos de Corea del Norte. Este colectivo ha sido vinculado tanto a operaciones de espionaje como a fraudes financieros, como el reciente atraco de mil millones de dólares a la plataforma de criptomonedas Bybit.
Suplantación laboral: el fraude de los trabajadores de TI
Paralelamente, Sophos ha revelado detalles alarmantes sobre una operación fraudulenta conocida como Famous Chollima, en la que agentes norcoreanos se hacen pasar por trabajadores de TI para infiltrarse en empresas extranjeras. Utilizando perfiles falsos creados con inteligencia artificial en plataformas como LinkedIn, Upwork o Toptal, estos actores logran insertarse en entornos corporativos y desviar fondos a Pyongyang.
Durante la fase de contratación, manipulan imágenes, generan currículums con herramientas de IA y utilizan software como Astrill VPN y KVM sobre IP para eludir controles de localización. En algunos casos, incluso participan en entrevistas falsas durante más de ocho horas para mantener la fachada.
Casos recientes: de Kraken al Departamento de Justicia
La compañía de criptomonedas Kraken detectó recientemente un intento de infiltración durante un proceso de entrevista. El candidato, que utilizaba herramientas para ocultar su ubicación, fue descubierto tras fallar verificaciones básicas como preguntas sobre su ciudad de residencia. En otro incidente, el Departamento de Justicia de EE. UU. procesó a un ciudadano estadounidense que, sin saberlo, subcontrató su empleo a un trabajador norcoreano con sede en China.
Recomendaciones para organizaciones
Las organizaciones deben extremar las medidas de seguridad en procesos de selección de personal, incluyendo:
-
Verificación rigurosa de identidad y ubicación
-
Detección de actividad anómala (viajes imposibles, herramientas sospechosas)
-
Formación continua al personal de RR. HH. sobre tácticas de ingeniería social
-
Evaluación estricta de dispositivos BYOD y accesos remotos
En conclusión, el avance del malware OtterCookie y las tácticas de infiltración laboral muestran el nivel de sofisticación de las operaciones cibernéticas patrocinadas por el estado norcoreano. Ante esta amenaza persistente y multifacética, las empresas deben adoptar un enfoque proactivo de ciberseguridad, reforzar sus controles internos y mantenerse informadas sobre las tácticas emergentes del cibercrimen global.
Fuente: The Hacker News
