Campanya d'atac de PurpleBravo
Els analistes d'intel·ligència d'amenaces han identificat 3.136 adreces IP individuals vinculades a possibles objectius de la campanya Contagious Interview. Es creu que l'operació implica 20 organitzacions potencialment víctimes que operen en intel·ligència artificial, criptomoneda, serveis financers, serveis informàtics, màrqueting i desenvolupament de programari. Les entitats afectades abasten Europa, el sud d'Àsia, l'Orient Mitjà i Amèrica Central, cosa que subratlla l'abast global de l'activitat.
Es calcula que les adreces IP, concentrades principalment al sud d'Àsia i a Amèrica del Nord, van ser atacades entre l'agost de 2024 i el setembre de 2025. Segons sembla, les empreses afectades tenen la seu a Bèlgica, Bulgària, Costa Rica, l'Índia, Itàlia, els Països Baixos, el Pakistan, Romania, els Emirats Àrabs Units i el Vietnam.
Taula de continguts
PurpleBravo: Un prolífic grup d’amenaces nord-coreanes
L'activitat s'atribueix a un clúster vinculat a Corea del Nord que es va rastrejar com a PurpleBravo, documentat per primera vegada a finals del 2023. Aquest grup és conegut a la comunitat de seguretat amb múltiples designacions, que reflecteixen un ampli rastreig de la indústria:
CL-STA-0240, DeceptiveDevelopment, DEV#POPPER, Famous Chollima, Gwisin Gang, Tenacious Pungsan, UNC5342, Void Dokkaebi i WaterPlum
PurpleBravo ha demostrat una inversió sostinguda en infraestructura a llarg termini, enginyeria social i desenvolupament de programari maliciós, alineant-se amb objectius que combinen ciberespionatge i robatori financer.
Explotació del procés de contractació i l’ecosistema de desenvolupadors
Descobriments recents segueixen la revelació d'una evolució important en la campanya Contagious Interview, en què els adversaris utilitzen projectes maliciosos de Microsoft Visual Studio Code com a armes per distribuir portes del darrere. Aquesta tàctica abusa de les eines i els fluxos de treball de desenvolupament de confiança, augmentant la probabilitat d'un compromís reeixit.
Investigadors han identificat persones fraudulentes de LinkedIn que es fan passar per desenvolupadors i reclutadors, afirmant operar des d'Odesa, Ucraïna, juntament amb repositoris maliciosos de GitHub dissenyats per distribuir programari maliciós com ara BeaverTail. En diversos incidents, candidats que buscaven feina van executar codi maliciós en dispositius emesos per empreses, estenent el compromís més enllà dels individus i directament a entorns empresarials.
Arsenal de programari maliciós i infraestructura de comandament
PurpleBravo opera infraestructures de comandament i control separades per donar suport a diverses famílies de programari maliciós. Aquestes inclouen BeaverTail, un lladre d'informació i carregador basat en JavaScript, i GolangGhost (també conegut com a FlexibleFerret o WeaselStore), una porta del darrere basada en Go derivada del projecte de codi obert HackBrowserData.
Els servidors C2 del grup estan distribuïts entre 17 proveïdors d'allotjament i s'administren a través d'Astrill VPN, amb l'activitat de gestió rastrejada fins a rangs d'IP a la Xina. L'ús d'Astrill VPN s'ha documentat repetidament en operacions cibernètiques nord-coreanes anteriors, cosa que reforça la confiança en l'atribució.
Convergència amb l’amenaça dels treballadors informàtics “Wagemole”
S'avalua que Contagious Interview complementa una campanya independent però relacionada coneguda com a Wagemole (PurpleDelta). Aquesta operació implica que treballadors informàtics nord-coreans aconsegueixen feina no autoritzada sota identitats robades o fabricades, principalment per generar ingressos i dur a terme espionatge. Tot i que Wagemole ha estat actiu des del 2017 i es rastreja com un clúster diferent, els investigadors han descobert notables solapaments tàctics i d'infraestructura.
Els enllaços observats inclouen operadors de PurpleBravo que mostren un comportament consistent amb els treballadors de TI nord-coreans, adreces IP russes vinculades a l'activitat coneguda dels treballadors de TI que es comuniquen amb la infraestructura de PurpleBravo i nodes VPN d'Astrill compartits associats amb tots dos clústers.
Escalada del risc a la cadena de subministrament i a l’empresa
Una tendència particularment preocupant és l'ús d'ofertes de treball fictícies per atraure els candidats perquè completin avaluacions de codificació en sistemes propietat de l'empresari, convertint efectivament una estafa de contractació en un vector d'intrusió empresarial. Això demostra que la cadena de subministrament de programari i TI és altament susceptible a la infiltració, fins i tot fora dels esquemes d'ocupació de treballadors de TI ben publicitats.
Moltes de les organitzacions objectiu anuncien grans bases de clients, cosa que amplifica el potencial de compromís de la cadena de subministrament aigües avall. Els investigadors de seguretat adverteixen que, si bé l'amenaça dels treballadors informàtics nord-coreans ha rebut una àmplia atenció, el model PurpleBravo d'infiltració de la cadena de subministrament mereix la mateixa prioritat. S'insta les organitzacions a reforçar els processos de contractació, els controls de l'entorn de desenvolupador i la gestió de riscos de tercers per detectar, interrompre i prevenir l'exposició de dades sensibles als actors d'amenaces nord-coreans.
