Un grupo de ciberdelincuentes norcoreanos ha introducido una nueva amenaza dirigida a desarrolladores de software en el ecosistema de criptomonedas y Web3. Esta campaña, conocida como «DeceptiveDevelopment«, utiliza herramientas personalizadas, incluyendo un backdoor previamente desconocido denominado AkdoorTea. La firma de ciberseguridad ESET vincula este grupo con operaciones del régimen de Pyongyang.
AkdoorTea es un backdoor multiplataforma desarrollado en Python y Go, diseñado para funcionar en Windows, Linux y macOS. Su funcionamiento combina varias técnicas avanzadas: utiliza canales de comunicación cifrados para conectarse a servidores de comando y control (C2), puede ejecutar scripts remotos, manipular archivos y recopilar credenciales y datos sensibles de aplicaciones de blockchain. Para mantener persistencia, emplea mecanismos de autoarranque, modifica configuraciones del sistema y oculta sus procesos mediante técnicas de ofuscación de código.
La distribución de este malware se realiza mediante ofertas de empleo falsas en el sector de criptomonedas. Los atacantes se hacen pasar por reclutadores y convencen a las víctimas para ejecutar scripts maliciosos bajo el pretexto de completar pruebas técnicas. Una vez ejecutados, los scripts descargan y activan el backdoor AkdoorTea, que establece una puerta trasera y crea un túnel seguro cifrado para transmitir información de manera encubierta al servidor C2.
La estrategia principal se basa en ingeniería social avanzada. Se crean perfiles falsos en plataformas profesionales para contactar desarrolladores y ofrecer entrevistas de trabajo. Durante estas entrevistas, se solicita realizar tareas aparentemente legítimas, que en realidad sirven para ejecutar el malware y mapear la infraestructura local de la víctima. Esta táctica ha sido llamada «Contagious Interview» y se ha usado previamente en campañas de malware como BeaverTail e InvisibleFerret.
Para protegerse de estas amenazas, es fundamental verificar la autenticidad de las ofertas de empleo, revisar los permisos de ejecución antes de ejecutar scripts o programas desconocidos, mantener actualizado el software antivirus y utilizar herramientas de análisis de malware que detecten comportamiento anómalo. Además, es clave educar al personal sobre las técnicas de ingeniería social y cómo evitarlas, así como supervisar los logs de red en busca de conexiones sospechosas con servidores externos.
Más información
- North Korean Hackers Use New AkdoorTea Backdoor to Target Global Crypto Developers: https://thehackernews.com/2025/09/north-korean-hackers-use-new-akdoortea.html
- DeceptiveDevelopment: From primitive crypto theft to sophisticated AI-based deception : https://www.welivesecurity.com/en/eset-research/deceptivedevelopment-from-primitive-crypto-theft-to-sophisticated-ai-based-deception/
Deja una respuesta