ESET Research desvela cómo DeceptiveDevelopment, grupo vinculado a Corea del Norte, utiliza el fraude laboral y la IA para robar criptomonedas.

• ESET Research ha publicado un informe en profundidad que analiza las actividades del actor de ciberamenazas DeceptiveDevelopment, en estrecha conexión con trabajadores de TI norcoreanos. 
• Las campañas analizadas dependen en gran medida de sofisticadas tácticas de ingeniería social, incluidas entrevistas de trabajo falsas y la técnica ClickFix, para distribuir malware y exfiltrar criptomonedas, con un posible objetivo secundario de ciberespionaje.
• ESET también ha investigado datos OSINT que aportan información sobre las operaciones de los trabajadores de TI norcoreanos implicados en esquemas de empleo fraudulentos.

Madrid, 25 de septiembre de 2025 – ESET Research ha presentado hoy, durante la conferencia anual Virus Bulletin (VB), nuevos hallazgos sobre DeceptiveDevelopment, también conocido como Contagious Interview, un grupo de ciberamenazas vinculado a Corea del Norte que ha incrementado notablemente su actividad en los últimos años. El grupo se centra principalmente en el robo de criptomonedas, dirigiéndose a desarrolladores freelance en plataformas Windows, Linux y macOS.

El nuevo informe de investigación describe la evolución del grupo, desde sus primeras familias de malware hasta conjuntos de herramientas más avanzados. Estas campañas dependen en gran medida de sofisticadas tácticas de ingeniería social, incluidas entrevistas de trabajo falsas y la técnica ClickFix, para distribuir malware y exfiltrar criptomonedas.

ESET también ha examinado datos de inteligencia de fuentes abiertas (OSINT) que arrojan luz sobre las operaciones de los trabajadores de TI norcoreanos implicados en esquemas de empleo fraudulentos y sus vínculos con DeceptiveDevelopment.

Ingeniería social y código troyanizado al servicio del robo de criptomonedas

DeceptiveDevelopment es un grupo vinculado a Corea del Norte, activo al menos desde 2023 y centrado en el beneficio financiero. El grupo tiene como objetivo a desarrolladores de software en todos los sistemas principales —Windows, Linux y macOS—, en especial aquellos que trabajan en proyectos de criptomonedas y Web3.

El acceso inicial se obtiene exclusivamente mediante diversas técnicas de ingeniería social, como ClickFix y perfiles falsos de reclutadores similares a la Operation DreamJob de Lazarus, con el fin de entregar pruebas de generación de código troyanizadas durante entrevistas de trabajo simuladas, que despliegan puertas traseras como parte de un falso proceso de entrevista laboral. Sus payloads más habituales son los infostealers BeaverTail, OtterCookie y WeaselStore, así como el troyano de acceso remoto (RAT) modular InvisibleFerret.

“Los individuos detrás de todas estas actividades sacrifican un alto nivel de sofisticación técnica a cambio de una amplia escala operativa y una ingeniería social altamente creativa. Su malware es en su mayoría simple, y aun así logran engañar incluso a objetivos con sólidos conocimientos técnicos”, explica Peter Kálnai, uno de los coautores del informe de investigación..

Entrevistas falsas y ClickFix para desplegar malware

Los atacantes recurrieron a diversos métodos para comprometer a los usuarios, basándose en ingeniosos trucos de ingeniería social. A través de perfiles falsos o secuestrados, se hacen pasar por reclutadores en plataformas como LinkedIn, Upwork, Freelancer.com y Crypto Jobs List. Ofrecen falsas oportunidades laborales atractivas con el fin de captar el interés de sus objetivos. A las víctimas se les solicita participar en un reto de programación o en una tarea previa a la entrevista.

Además de las cuentas falsas de reclutadores, los atacantes han personalizado y perfeccionado el método de ingeniería social conocido como ClickFix. Las víctimas son atraídas a un sitio falso de entrevistas de trabajo y se les pide completar un formulario de solicitud detallado, invirtiendo tiempo y esfuerzo. En la etapa final, se les solicita grabar una respuesta en video, pero la página muestra un error de cámara y ofrece un enlace “Cómo solucionarlo”. Este enlace instruye a los usuarios a abrir una terminal y copiar un comando que supuestamente resuelve el problema de cámara o micrófono, pero que en realidad descarga y ejecuta malware.

Esquemas de empleo fraudulentos como vía de financiación y espionaje

Si bien la investigación sobre DeceptiveDevelopment se basa principalmente en datos de la telemetría de ESET y en el análisis del conjunto de herramientas del grupo, resulta interesante señalar sus conexiones con operaciones de fraude llevadas a cabo por trabajadores de TI norcoreanos.

Según el cartel de “Los más buscados” del FBI, la campaña de estos trabajadores de TI se mantiene activa al menos desde abril de 2017 y ha ganado cada vez mayor relevancia en los últimos años. En un aviso conjunto publicado en mayo de 2022, esta campaña se describe como un esfuerzo coordinado de trabajadores vinculados a Corea del Norte para obtener empleo en empresas extranjeras, cuyos salarios se utilizan posteriormente como financiación para el régimen. También se sabe que han robado datos internos de compañías y los han utilizado para fines de extorsión, tal como indicó el FBI en un anuncio de enero de 2025.

Como descubrió ESET Research a partir de datos OSINT disponibles, CV falsos y otros materiales relacionados, los trabajadores de TI se centran principalmente en empleo y trabajos por contrato en Occidente, dando prioridad específica a Estados Unidos. Sin embargo, sus hallazgos basados en los materiales obtenidos muestran un cambio de enfoque hacia Europa, con objetivos en países como Francia, Polonia, Ucrania y Albania.

Estos trabajadores utilizan IA para desempeñar sus tareas laborales y dependen en gran medida de ella para manipular fotografías en sus fotos de perfil y CVs, llegando incluso a realizar cambios de rostro en tiempo real durante entrevistas en video para parecerse a la identidad que estén utilizando en ese momento.

Emplean plataformas de entrevistas remotas como Zoom, MiroTalk, FreeConference o Microsoft Teams para llevar a cabo diversas técnicas de ingeniería social. La práctica del proxy interviewing representa un riesgo grave para los empleadores, ya que contratar a un empleado ilegítimo procedente de un país sancionado no solo puede resultar irresponsable o ineficiente, sino que también puede convertirse en una amenaza interna peligrosa.

“Las actividades de los trabajadores de TI norcoreanos constituyen una amenaza híbrida. Este esquema de fraude por encargo combina operaciones criminales clásicas, como el robo de identidad y el fraude de identidad sintética, con herramientas digitales, lo que lo clasifica tanto como un delito tradicional como un ciberdelito”, comenta Kálnai.

El informe de investigación “ DeceptiveDevelopment:From primitive crypto thef to sophisticated Al-based deception” revela vínculos entre su backdoor Tropidoor y el PostNapTea RAT de Lazarus, y presenta un análisis de los nuevos toolkits TsunamiKit y WeaselStore, incluyendo la documentación del funcionamiento de un servidor C&C de WeaselStore y su API.