Los expertos en ciberseguridad han revelado un esfuerzo coordinado de los piratas informáticos alineados por Corea del Norte para explotar las plataformas de inteligencia de amenazas cibernéticas (CTI). La investigación, descubierta por Sentinellabs y la compañía de inteligencia de Internet Validin, vinculó la actividad con el Contagious Interview Cluster, una campaña conocida por atacar a los solicitantes de empleo con señuelos de reclutamiento de malware. Según los informes, entre marzo y junio de 2025, el grupo intentó acceder al portal de inteligencia de infraestructura de Validin, registrando múltiples cuentas a las pocas horas de una publicación de blog que detalló la actividad vinculada a Lázaros. Los piratas informáticos utilizaron direcciones de Gmail previamente asociadas con sus operaciones, aunque Validin las bloqueó rápidamente. A pesar de esto, regresaron con nuevas cuentas, incluidos los dominios registrados específicamente para el esfuerzo. Intentos persistentes y adaptación Los actores de amenaza demostraron persistencia, creando repetidamente cuentas e intentando inicios de sesión durante varios meses. Sentinellabs permitió intencionalmente que una cuenta permaneciera activa para monitorear sus tácticas. Los investigadores encontraron evidencia de coordinación basada en el equipo, incluido el uso sospechoso de Slack para compartir los resultados de búsqueda en tiempo real. En lugar de hacer amplios cambios de infraestructura para evitar el descubrimiento, los piratas informáticos se centraron en implementar nuevos sistemas para reemplazar los retirados por los proveedores de servicios. Esta estrategia les permitió mantener un alto tempo de compromiso de las víctimas a pesar de la exposición. Lea más sobre las operaciones cibernéticas del Grupo Lazarus: más de 200 paquetes de código abierto maliciosos rastreados para la exploración de infraestructura de campaña de Lazarus y fallas de OPSEC observaron a los investigadores del grupo que usaba válido no solo para rastrear signos de detección sino también para explorar una nueva infraestructura antes de la compra. Búsqueda de dominios con temática de reclutamiento como cuestiones de habilidades[.]com y contratación[.]Net sugirió esfuerzos para evitar activos marcados. Aún así, varios errores de seguridad operativos expusieron archivos de registro y estructuras de directorio, que ofrecen una visión rara de sus flujos de trabajo. La investigación también reveló aplicaciones contagiosas de drop: sistemas de entrega de malware integrados en sitios de reclutamiento. Estas aplicaciones enviaron alertas por correo electrónico cuando las víctimas ejecutaron comandos maliciosos y detalles registrados como nombres, números de teléfono y direcciones IP. Más de 230 individuos, principalmente en la industria de la criptomonedas, se vieron afectadas entre enero y marzo de 2025. Los objetivos de la campaña y el impacto más amplio según Sentinellabs, la campaña contagiosa de la entrevista atiende principalmente a la necesidad de ingresos de Corea del Norte, apuntando a profesionales de criptomonedas en todo el mundo a través de la ingeniería social. Si bien el grupo no ha adoptado medidas sistemáticas para proteger la infraestructura, su resiliencia proviene de una rápida redistribución y adquisición continua de víctimas. «Dado el éxito continuo de sus campañas en objetivos atractivos, puede ser más pragmático y eficiente para los actores de amenaza implementar una nueva infraestructura en lugar de mantener los activos existentes», explicó Sentinellabs. El informe enfatiza que la vigilancia de los solicitantes de empleo sigue siendo esencial, especialmente en el sector de criptomonedas. Los proveedores de infraestructura también juegan un papel clave, ya que los eliminadores rápidos interrumpen significativamente estas operaciones.