Campaña de ataque PurpleBravo
Los analistas de inteligencia de amenazas han identificado 3136 direcciones IP individuales vinculadas a posibles objetivos de la campaña "Entrevista Contagiosa". Se cree que la operación involucra a 20 organizaciones que operan en inteligencia artificial, criptomonedas, servicios financieros, servicios de TI, marketing y desarrollo de software. Las entidades afectadas abarcan Europa, el sur de Asia, Oriente Medio y Centroamérica, lo que pone de relieve el alcance global de la actividad.
Se estima que las direcciones IP, concentradas principalmente en el sur de Asia y América del Norte, fueron atacadas entre agosto de 2024 y septiembre de 2025. Según se informa, las empresas afectadas tienen su sede en Bélgica, Bulgaria, Costa Rica, India, Italia, Países Bajos, Pakistán, Rumania, Emiratos Árabes Unidos y Vietnam.
Tabla de contenido
PurpleBravo: Un prolífico grupo de amenazas norcoreano
La actividad se atribuye a un grupo vinculado a Corea del Norte, identificado como PurpleBravo, documentado por primera vez a finales de 2023. Este grupo es conocido en la comunidad de seguridad con múltiples designaciones, lo que refleja un amplio seguimiento en la industria:
CL-STA-0240, DeceivedDevelopment, DEV#POPPER, Famous Chollima, Gwisin Gang, Tenacious Pungsan, UNC5342, Void Dokkaebi y WaterPlum
PurpleBravo ha demostrado una inversión sostenida en infraestructura a largo plazo, técnicas de ingeniería social y desarrollo de malware, alineándose con objetivos que combinan el espionaje cibernético y el robo financiero.
Explotación del proceso de contratación y del ecosistema de desarrolladores
Hallazgos recientes surgen tras la divulgación de una importante evolución en la campaña Entrevista Contagiosa, en la que los adversarios utilizan proyectos maliciosos de Microsoft Visual Studio Code para distribuir puertas traseras. Esta táctica abusa de herramientas y flujos de trabajo de confianza para desarrolladores, lo que aumenta la probabilidad de éxito de la vulneración.
Los investigadores han identificado perfiles fraudulentos de LinkedIn que se hacen pasar por desarrolladores y reclutadores, afirmando operar desde Odesa, Ucrania, junto con repositorios maliciosos de GitHub diseñados para distribuir malware como BeaverTail. En varios incidentes, se informó que candidatos en busca de empleo ejecutaron código malicioso en dispositivos corporativos, extendiendo la vulnerabilidad más allá de los individuos y directamente a entornos empresariales.
Arsenal de malware e infraestructura de comando
PurpleBravo opera infraestructuras de comando y control independientes para dar soporte a múltiples familias de malware. Estas incluyen BeaverTail, un cargador y ladrón de información basado en JavaScript, y GolangGhost (también conocido como FlexibleFerret o WeaselStore), una puerta trasera basada en Go derivada del proyecto de código abierto HackBrowserData.
Los servidores C2 del grupo están distribuidos en 17 proveedores de alojamiento y se administran a través de Astrill VPN. La actividad de gestión se ha rastreado hasta rangos de IP en China. El uso de Astrill VPN se ha documentado repetidamente en operaciones cibernéticas norcoreanas anteriores, lo que refuerza la confianza en la atribución.
Convergencia con la amenaza del trabajador de TI 'Wagemole'
Se evalúa que Entrevista Contagiosa complementa una campaña independiente, pero relacionada, conocida como Wagemole (PurpleDelta). Esta operación implica que trabajadores de TI norcoreanos consiguen empleos no autorizados con identidades robadas o falsas, principalmente para generar ingresos y realizar espionaje. Aunque Wagemole lleva activo desde 2017 y se le identifica como un grupo independiente, los investigadores han descubierto importantes solapamientos tácticos y de infraestructura.
Los vínculos observados incluyen operadores de PurpleBravo que exhiben un comportamiento consistente con los trabajadores de TI de Corea del Norte, direcciones IP rusas vinculadas a la actividad conocida de trabajadores de TI que se comunican con la infraestructura de PurpleBravo y nodos VPN Astrill compartidos asociados con ambos clústeres.
Aumento del riesgo en la cadena de suministro y en la empresa
Una tendencia particularmente preocupante es el uso de ofertas de trabajo ficticias para inducir a los candidatos a completar evaluaciones de programación en sistemas propiedad del empleador, convirtiendo así una estafa de reclutamiento en un vector de intrusión empresarial. Esto demuestra que la cadena de suministro de software y TI es altamente susceptible a la infiltración, incluso fuera de los conocidos programas de empleo para trabajadores de TI.
Muchas de las organizaciones atacadas anuncian grandes bases de clientes, lo que aumenta el riesgo de comprometer la cadena de suministro. Los investigadores de seguridad advierten que, si bien la amenaza de los trabajadores de TI norcoreanos ha recibido amplia atención, el modelo PurpleBravo de infiltración en la cadena de suministro merece la misma prioridad. Se insta a las organizaciones a fortalecer los procesos de contratación, los controles del entorno de desarrollo y la gestión de riesgos de terceros para detectar, interrumpir y prevenir la exposición de datos confidenciales a actores de amenazas norcoreanos.
