La persistente campaña vinculada a Corea del Norte conocida como Entrevista contagiosa ha extendido sus tentáculos publicando paquetes maliciosos dirigidos a los ecosistemas Go, Rust y PHP.

«Los paquetes del actor de amenazas fueron diseñados para hacerse pasar por herramientas de desarrollador legítimas. […]mientras funcionan silenciosamente como cargadores de malware, extendiendo el manual establecido de Contagious Interview a una operación coordinada de cadena de suministro entre ecosistemas», dijo el investigador de seguridad de Socket Kirill Boychenko. dicho en un informe del martes.

La lista completa de paquetes identificados es la siguiente:

• npm: dev-log-core, logger-base, logkitx, pino-debugger, debug-fmt, debug-glitz
• PyPI: logutilkit, apachelicense, fluxhttp, licencia-utils-kit
• Ir: github[.]es/golangorg/formstash, github[.]es/aokisasakidev/mit-license-pkg
• Óxido: rastro log
• Empaquetador: golangorg/logkit

Estos cargadores están diseñados para recuperar cargas útiles de segunda etapa específicas de la plataforma, que resultan ser una pieza de malware con capacidades de robo de información y troyano de acceso remoto (RAT). Se centra principalmente en recopilar datos de navegadores web, administradores de contraseñas y billeteras de criptomonedas.

Sin embargo, una versión de Windows del malware entregada a través de «license-utils-kit» incorpora lo que Socket describe como un «implante completo posterior al compromiso» que está equipado para ejecutar comandos de shell, registrar pulsaciones de teclas, robar datos del navegador, cargar archivos, cerrar navegadores web, implementar AnyDesk para acceso remoto, crear un archivo cifrado y descargar módulos adicionales.

«Eso hace que este grupo sea notable no sólo por su alcance en todos los ecosistemas, sino también por la profundidad de la funcionalidad posterior al compromiso incorporada en al menos parte de la campaña», añadió Boychenko.

Lo que hace que el último conjunto de bibliotecas sea digno de mención es que el código malicioso no se activa durante la instalación, sino que está integrado en funciones aparentemente legítimas que se alinean con el propósito anunciado del paquete. Por ejemplo, en el caso de «logtrace», el código está oculto dentro de «Logger::trace(i32)», un método que probablemente no despertará sospechas en un desarrollador.

La expansión de Contagious Interview en cinco ecosistemas de código abierto es una señal más de que la campaña es una amenaza persistente a la cadena de suministro con buenos recursos y diseñada para infiltrarse sistemáticamente en estas plataformas como vías de acceso inicial para violar los entornos de los desarrolladores con fines de espionaje y ganancias financieras.

En total, Socket dijo que ha identificado más de 1.700 paquetes maliciosos vinculado a la actividad desde principios de enero de 2025.

El descubrimiento es parte de una campaña más amplia de compromiso de la cadena de suministro de software emprendida por grupos de hackers norcoreanos. Esto incluye el envenenamiento del popular paquete npm de Axios para distribuir un implante llamado WAVESHAPER.V2 después de tomar el control de la cuenta npm del mantenedor del paquete a través de una campaña de ingeniería social personalizada.

El ataque se ha atribuido a un actor de amenazas con motivación financiera conocido como UNC1069, que se superpone con BlueNoroff, Sapphire Sleet y Stardust Chollima. Security Alliance (SEAL), en un informe publicado hoy, dijo que bloqueó 164 dominios vinculados a UNC1069 que se hacían pasar por servicios como Microsoft Teams y Zoom entre el 6 de febrero y el 7 de abril de 2026.

«UNC1069 opera campañas de ingeniería social de baja presión durante varias semanas en Telegram, LinkedIn y Slack, ya sea haciéndose pasar por contactos conocidos o marcas creíbles o aprovechando el acceso a cuentas individuales y de empresas previamente comprometidas, antes de entregar un enlace fraudulento a una reunión de Zoom o Microsoft Teams», SEAL dicho.

Estos enlaces de reuniones falsos se utilizan para servir señuelos similares a ClickFix, lo que resulta en la ejecución de malware que contacta a un servidor controlado por un atacante para robar datos y realizar actividades posteriores a la explotación dirigidas en Windows, macOS y Linux.

«Los operadores deliberadamente no actúan inmediatamente después del acceso inicial. El implante queda inactivo o pasivo durante un período después del compromiso», añadió SEAL. «El objetivo normalmente reprograma la llamada fallida y continúa con las operaciones normales, sin darse cuenta de que el dispositivo está comprometido. Esta paciencia extiende la ventana operativa y maximiza el valor extraído antes de que se active cualquier respuesta al incidente».

En una declaración compartida con The Hacker News, Microsoft dijo que los actores de amenazas norcoreanos con fines financieros están evolucionando activamente su conjunto de herramientas e infraestructura, utilizando dominios que se hacen pasar por instituciones financieras con sede en EE. UU. y aplicaciones de videoconferencia para ingeniería social.

«Lo que estamos viendo constantemente es una evolución continua en la forma en que operan los actores motivados financieramente y vinculados a la RPDC, cambios en las herramientas, la infraestructura y los objetivos, pero con una clara continuidad en el comportamiento y la intención», dijo Sherrod DeGrippo, gerente general de inteligencia de amenazas de Microsoft.

Los actores cibernéticos afiliados a Irán están apuntando a dispositivos de tecnología operativa (OT) conectados a Internet en infraestructuras críticas en los EE. UU., incluidos controladores lógicos programables (PLC), agencias de inteligencia y ciberseguridad. prevenido Martes.

«Estos ataques han provocado una disminución de la funcionalidad del PLC, manipulación de los datos de visualización y, en algunos casos, interrupciones operativas y pérdidas financieras», dijo la Oficina Federal de Investigaciones de EE. UU. (FBI) dicho en una publicación en X.

Las agencias dijeron que la campaña es parte de una reciente escalada de ataques cibernéticos orquestados por grupos de hackers iraníes contra organizaciones estadounidenses en respuesta al conflicto en curso entre Irán, Estados Unidos e Israel.

Específicamente, la actividad ha provocado interrupciones de PLC en varios sectores de infraestructura crítica de EE. UU. a través de lo que las agencias autoras describieron como interacciones maliciosas con el archivo del proyecto y manipulación de datos en la interfaz hombre-máquina (HMI) y en las pantallas de control de supervisión y adquisición de datos (SCADA).

Estos ataques han señalado a Rockwell Automation y Allen-Bradley PLC desplegados en servicios e instalaciones gubernamentales, sistemas de agua y aguas residuales (WWS) y sectores de energía.

«Los actores utilizaron infraestructura alojada por terceros alquilada con software de configuración, como el software Studio 5000 Logix Designer de Rockwell Automation, para crear una conexión aceptada con el PLC de la víctima», decía el aviso. «Los dispositivos objetivo incluyen dispositivos PLC CompactLogix y Micro850».

Al obtener el acceso inicial, los actores de amenazas establecieron comando y control mediante la implementación de Dropbear, un software Secure Shell (SSH), en los puntos finales de las víctimas para permitir el acceso remoto a través del puerto 22 y facilitar la extracción del archivo de proyecto del dispositivo y la manipulación de datos en pantallas HMI y SCADA.

Para combatir la amenaza, se recomienda a las organizaciones que eviten exponer el PLC a Internet, tomen medidas para evitar la modificación remota, ya sea a través de un interruptor físico o de software, implementen autenticación multifactor (MFA) y erijan un firewall o proxy de red frente al PLC para controlar el acceso a la red, mantener actualizados los dispositivos PLC, deshabilitar cualquier función de autenticación no utilizada y monitorear el tráfico inusual.

Esta no es la primera vez que actores de amenazas iraníes atacan redes OT y PLC. A finales de 2023, Cyber ​​Av3ngers (también conocido como Hydro Kitten, Shahid Kaveh Group y UNC5691) fue vinculado a la explotación activa de los PLC de Unitronics para apuntar a la Autoridad Municipal del Agua de Aliquippa en el oeste de Pensilvania. Estos ataques comprometieron al menos 75 dispositivos.

«Este aviso confirma lo que hemos observado durante meses: la escalada cibernética de Irán sigue un manual conocido. Los actores de amenazas iraníes ahora se están moviendo más rápido y más ampliamente y apuntando tanto a la infraestructura de TI como de OT», dijo Sergey Shykevich, gerente del grupo de inteligencia de amenazas de Check Point Research, en un comunicado compartido con The Hacker News.

«En marzo documentamos patrones de ataques idénticos contra PLC israelíes. No es la primera vez que actores iraníes atacan tecnología operativa en Estados Unidos con fines de perturbación, por lo que las organizaciones no deberían tratar esto como una nueva amenaza, sino como una amenaza en aceleración».

El desarrollo se produce en medio de un nuevo aumento en los ataques distribuidos de denegación de servicio (DDoS) y las afirmaciones de operaciones de piratería y filtración llevadas a cabo por grupos de proxy cibernéticos y hacktivistas dirigidos a entidades occidentales e israelíes, según Flashpoint.

En un informe publicado esta semana, DomainTools Investigations (DTI) describió la actividad atribuida a Homeland Justice, Karma/KarmaBelow80 y Handala Hack como un «ecosistema de influencia cibernética único y coordinado» alineado con el Ministerio de Inteligencia y Seguridad (MOIS) de Irán en lugar de un conjunto de grupos hacktivistas distintos.

«Estas personas funcionan como chapas operativas intercambiables aplicadas a una capacidad subyacente consistente», DTI dicho. «Su propósito no es reflejar la separación organizacional, sino permitir la segmentación de los mensajes, la focalización y la atribución, preservando al mismo tiempo la continuidad de la infraestructura y el oficio».

Los dominios públicos y los canales de Telegram sirven como el principal centro de difusión y amplificación, y la plataforma de mensajería también desempeña un papel importante en las operaciones de comando y control (C2) al permitir que el malware se comunique con bots controlados por actores de amenazas, reduzca la sobrecarga de la infraestructura y se combine con las operaciones normales.

«Este ecosistema representa un instrumento de influencia cibernética dirigido por el Estado, en el que las operaciones técnicas están estrechamente integradas con la manipulación narrativa y la dinámica de amplificación de los medios para lograr efectos coercitivos y estratégicos», añadió el DTI.

MuddyWater como afiliado de CastleRAT

El desarrollo se produce cuando JUMPSEC detalló los vínculos de MuddyWater con el ecosistema criminal, afirmando que el actor de amenazas patrocinado por el estado iraní opera al menos dos construcciones CastleRAT contra objetivos israelíes. Vale la pena señalar que CastleRAT es un troyano de acceso remoto que forma parte del marco CastleLoader atribuido por Recorded Future a un grupo al que rastrea bajo el nombre de GrayBravo (también conocido como TAG-150).

Un elemento central de las operaciones es un implementador de PowerShell («reset.ps1») que implementa un malware basado en JavaScript previamente no documentado llamado ChainShell, que luego contacta un contrato inteligente en la cadena de bloques Ethereum para recuperar una dirección C2 y usarla para recuperar el código JavaScript de la siguiente etapa para su ejecución en hosts comprometidos.

Algunos aspectos de estas conexiones entre MOIS y el ecosistema del cibercrimen también fueron señalados por Ctrl-Alt-Intel, Broadcom y Check Point, destacando el creciente compromiso como evidencia de una creciente dependencia de herramientas disponibles para apoyar los objetivos estatales y complicar los esfuerzos de atribución.

También se ha descubierto que el mismo cargador de PowerShell genera una botnet maliciosa denominada Tsundere (también conocida como Dindoor). Según JUMPSEC, tanto ChainShell como Tsundere son componentes separados de la plataforma TAG-150 que se implementan junto con CastleRAT.

«La adopción de un MaaS criminal ruso por parte de un actor estatal iraní tiene implicaciones directas para los defensores», dijo JUMPSEC en un informe compartido con The Hacker News. «Las organizaciones objetivo de MuddyWater, especialmente en los sectores de defensa, aeroespacial, energético y gubernamental, ahora enfrentan amenazas que combinan ataques a nivel estatal con herramientas ofensivas desarrolladas comercialmente».