Microsoft advirtió el lunes sobre campañas de phishing que emplean correos electrónicos de phishing y OAuth Mecanismos de redireccionamiento de URL para eludir las defensas de phishing convencionales implementadas en el correo electrónico y los navegadores.

La actividad, dijo la compañía, está dirigida a organizaciones gubernamentales y del sector público con el objetivo final de redirigir a las víctimas a la infraestructura controlada por los atacantes sin robar sus tokens. Describió los ataques de phishing como una amenaza basada en la identidad que aprovecha el comportamiento estándar y por diseño de OAuth en lugar de explotar las vulnerabilidades del software o robar credenciales.

«OAuth incluye una característica legítima que permite a los proveedores de identidad redirigir a los usuarios a una página de destino específica bajo ciertas condiciones, generalmente en escenarios de error u otros flujos definidos», dijo el equipo de investigación de seguridad de Microsoft Defender. dicho.

«Los atacantes pueden abusar de esta funcionalidad nativa creando URL con proveedores de identidad populares, como Entra ID o Google Workspace, que utilizan parámetros manipulados o aplicaciones maliciosas asociadas para redirigir a los usuarios a páginas de destino controladas por el atacante. Esta técnica permite la creación de URL que parecen benignas pero que en última instancia conducen a destinos maliciosos».

El punto de partida del ataque es una aplicación maliciosa creada por el actor de la amenaza en un inquilino bajo su control. La aplicación está configurada con una URL de redireccionamiento que apunta a un dominio fraudulento que aloja malware. Luego, los atacantes distribuyen un enlace de phishing OAuth que indica a los destinatarios que se autentiquen en la aplicación maliciosa utilizando un alcance intencionalmente no válido.

El resultado de esta redirección es que los usuarios descargan e infectan inadvertidamente sus propios dispositivos con malware. Las cargas útiles maliciosas se distribuyen en forma de archivos ZIP que, cuando se descomprimen, dan como resultado la ejecución de PowerShell, la carga lateral de DLL y la actividad previa al rescate o de uso del teclado, dijo Microsoft.

El archivo ZIP contiene un acceso directo de Windows (LNK) que ejecuta un comando de PowerShell tan pronto como se abre. La carga útil de PowerShell se utiliza para realizar un reconocimiento del host mediante la ejecución de comandos de descubrimiento. El archivo LNK extrae del archivo ZIP un instalador MSI, que luego suelta un documento señuelo para engañar a la víctima, mientras que una DLL maliciosa («crashhandler.dll») se descarga utilizando el binario legítimo «steam_monitor.exe».

La DLL procede a descifrar otro archivo llamado «crashlog.dat» y ejecuta la carga útil final en la memoria, lo que le permite establecer una conexión saliente a un servidor externo de comando y control (C2).

Microsoft dijo que los correos electrónicos utilizan solicitudes de firma electrónica, grabaciones de Teams, temas de seguridad social, financieros y políticos como señuelos para engañar a los usuarios para que hagan clic en el enlace. Se dice que los correos electrónicos se enviaron a través de herramientas de envío masivo y soluciones personalizadas desarrolladas en Python y Node.js. Los enlaces se incluyen directamente en el cuerpo del correo electrónico o se colocan dentro de un documento PDF.

«Para aumentar la credibilidad, los actores pasaron la dirección de correo electrónico de destino a través del parámetro de estado utilizando varias técnicas de codificación, lo que permitió que se completara automáticamente en la página de phishing», dijo Microsoft. «El parámetro de estado está destinado a generarse aleatoriamente y usarse para correlacionar los valores de solicitud y respuesta, pero en estos casos se reutilizó para llevar direcciones de correo electrónico codificadas».

Si bien se ha descubierto que algunas de las campañas aprovechan la técnica para distribuir malware, otras envían a los usuarios a páginas alojadas en marcos de phishing como EvilProxy, que actúan como un kit de adversario en el medio (AitM) para interceptar credenciales y cookies de sesión.

Desde entonces, Microsoft eliminó varias aplicaciones OAuth maliciosas que fueron identificadas como parte de la investigación. Se recomienda a las organizaciones que limiten el consentimiento del usuario, revisen periódicamente los permisos de las aplicaciones y eliminen las aplicaciones no utilizadas o con privilegios excesivos.

El grupo de actividad de amenazas conocido como descuidadolemming se ha atribuido a una nueva serie de ataques dirigidos a entidades gubernamentales y operadores de infraestructuras críticas en Pakistán y Bangladesh.

La actividad, según Arctic Wolf, tuvo lugar entre enero de 2025 y enero de 2026. Implica el uso de dos cadenas de ataque distintas para entregar familias de malware rastreadas como BurrowShell y un keylogger basado en Rust.

«El uso del lenguaje de programación Rust representa una evolución notable en las herramientas de SloppyLemming, ya que informes anteriores documentaron que el actor utiliza sólo lenguajes compilados tradicionales y marcos de simulación de adversarios prestados como Cobalt Strike, Havoc y el NekroWire RAT personalizado», la empresa de ciberseguridad. dicho en un informe compartido con The Hacker News.

SloppyLemming es el apodo asignado a un actor de amenazas que se sabe que apunta a entidades gubernamentales, policiales, energéticas, de telecomunicaciones y tecnológicas en Pakistán, Sri Lanka, Bangladesh y China desde al menos 2022. También se rastrea con los nombres Tigre escolta y Pescando Elefante.

Campañas anteriores montadas por el equipo de hackers han aprovechado familias de malware como Ares RAT y WarHawk, que a menudo se atribuyen a SideCopy y SideWinder, respectivamente.

El análisis de ArcticWolf de los últimos ataques ha descubierto el uso de correos electrónicos de phishing para entregar señuelos PDF y documentos Excel habilitados para macros para iniciar las cadenas de infección. Describió al actor de amenazas como operando con capacidad moderada.

Los señuelos PDF contienen URL diseñadas para llevar a las víctimas a los manifiestos de la aplicación ClickOnce, que luego implementan un ejecutable legítimo de Microsoft .NET («NGenTask.exe») y un cargador malicioso («mscorsvc.dll»). El cargador se inicia mediante la carga lateral de DLL para descifrar y ejecutar un implante de código shell x64 personalizado con nombre en código BurrowShell.

«BurrowShell es una puerta trasera con todas las funciones que proporciona al actor de amenazas manipulación del sistema de archivos, capacidades de captura de capturas de pantalla, ejecución remota de shell y capacidades de proxy SOCKS para túneles de red», dijo Arctic Wolf. «El implante disfraza su tráfico de comando y control (C2) como comunicaciones del servicio Windows Update y emplea encriptación RC4 con una clave de 32 caracteres para proteger la carga útil».

La segunda cadena de ataque emplea documentos de Excel que contienen macros maliciosas para eliminar el malware keylogger, al tiempo que incorpora funciones para realizar escaneo de puertos y enumeración de redes.

Una investigación más exhaustiva de la infraestructura del actor de amenazas ha identificado 112 dominios de Cloudflare Workers registrados durante el período de un año, lo que supone un aumento de ocho veces con respecto a los 13 dominios marcados por Cloudflare en septiembre de 2024.

Los vínculos de la campaña con SloppyLemming se basan en la explotación continua de la infraestructura de Cloudflare Workers con patrones de erratas tipográficas con temas gubernamentales, implementación del marco Havoc C2, técnicas de carga lateral de DLL y patrones de victimología.

Vale la pena señalar que algunos aspectos del oficio del actor de amenazas, incluido el uso de la ejecución habilitada para ClickOnce, se superponen con una campaña reciente de SideWinder documentada por Trellix en octubre de 2025.

«En particular, atacar a los organismos reguladores nucleares, las organizaciones de logística de defensa y la infraestructura de telecomunicaciones de Pakistán, junto con las empresas de energía e instituciones financieras de Bangladesh, se alinea con las prioridades de recopilación de inteligencia consistentes con la competencia estratégica regional en el sur de Asia», dijo Arctic Wolf.

«La implementación de cargas útiles duales (el código shell en memoria BurrowShell para operaciones de proxy C2 y SOCKS, y un registrador de teclas basado en Rust para el robo de información) sugiere que el actor de amenazas mantiene la flexibilidad para implementar herramientas apropiadas basadas en el valor objetivo y los requisitos operativos».

Al actor de amenazas norcoreano conocido como ScarCruft se le ha atribuido un nuevo conjunto de herramientas, incluida una puerta trasera que utiliza Zoho WorkDrive para comunicaciones de comando y control (C2) para recuperar más cargas útiles y un implante que utiliza medios extraíbles para transmitir comandos y violar redes aisladas.

La campaña, cuyo nombre en clave Jersey rubí de Zscaler ThreatLabz, implica la implementación de familias de malware, como RESTLEAF, SNAKEDROPPER, THUMBSBD, VIRUSTASK, FOOTWINE y BLUELIGHT para facilitar la vigilancia en el sistema de la víctima. Fue descubierto por la empresa de ciberseguridad en diciembre de 2025.

«En la campaña Ruby Jumper, cuando una víctima abre un archivo LNK malicioso, lanza un comando de PowerShell y escanea el directorio actual para ubicarse según el tamaño del archivo», dijo el investigador de seguridad Seongsu Park. dicho. «Luego, el script de PowerShell iniciado por el archivo LNK crea múltiples cargas útiles incrustadas a partir de compensaciones fijas dentro de ese LNK, incluido un documento señuelo, una carga útil ejecutable, un script de PowerShell adicional y un archivo por lotes».

Uno de los documentos señuelo utilizados en la campaña muestra un artículo sobre el conflicto palestino-israelí traducido de un periódico norcoreano al árabe.

Las tres cargas útiles restantes se utilizan para pasar progresivamente el ataque a la siguiente etapa, con el script por lotes iniciando PowerShell, que, a su vez, es responsable de cargar el código shell que contiene la carga útil después de descifrarla. La carga útil ejecutable de Windows, denominada RESTLEAF, se genera en la memoria y utiliza Zoho WorkDrive para C2, lo que marca la primera vez que el actor de amenazas abusa del servicio de almacenamiento en la nube en sus campañas de ataque.

Una vez que se autentica exitosamente con la infraestructura de Zoho WorkDrive mediante un token de acceso válido, RESTLEAF descarga el código shell, que luego se ejecuta mediante inyección de proceso, lo que eventualmente conduce a la implementación de SNAKEDROPPER, que instala el tiempo de ejecución de Ruby, configura la persistencia usando una tarea programada y elimina THUMBSBD y VIRUSTASK.

THUMBSBD, que está disfrazado de archivo Ruby y utiliza medios extraíbles para transmitir comandos y transferir datos entre sistemas conectados a Internet y aislados. Es capaz de recopilar información del sistema, descargar una carga útil secundaria desde un servidor remoto, filtrar archivos y ejecutar comandos arbitrarios. Si se detecta la presencia de algún medio extraíble, el malware crea una carpeta oculta y la utiliza para preparar comandos emitidos por el operador o almacenar resultados de ejecución.

Una de las cargas útiles entregadas por THUMBSBD es FOOTWINE, una carga útil cifrada con un lanzador de código shell integrado que viene equipado con capacidades de registro de teclas y captura de audio y video para realizar vigilancia. Se comunica con un servidor C2 mediante un protocolo binario personalizado a través de TCP. El conjunto completo de comandos admitidos por el malware es el siguiente:

• smpara shell de comandos interactivo
• fmpara manipulación de archivos y directorios
• GMpara gestionar complementos y configuración
• habitaciónpara modificar el Registro de Windows
• p.mpara enumerar procesos en ejecución
• DMpara tomar capturas de pantalla y capturar pulsaciones de teclas
• centímetropara realizar vigilancia de audio y vídeo
• Dakota del Surpara recibir el contenido del script por lotes desde el servidor C2, guardarlo en el archivo %TEMP%\SSMMHH_DDMMYYYY.bat y ejecutarlo
• pxmpara configurar una conexión proxy y retransmitir el tráfico bidireccionalmente.
• [filepath]para cargar una DLL determinada

THUMBSBD también está diseñado para distribuir BLUELIGHT, una puerta trasera previamente atribuida a ScarCruft desde al menos 2021. El malware utiliza como arma a proveedores legítimos de la nube, incluidos Google Drive, Microsoft OneDrive, pCloud y BackBlaze, para que C2 ejecute comandos arbitrarios, enumere el sistema de archivos, descargue cargas útiles adicionales, cargue archivos y se elimine.

También entregado como un archivo Ruby, VIRUSTASK funciona de manera similar a THUMBSBD en el sentido de que actúa como un componente de propagación de medios extraíbles para propagar el malware a sistemas aislados no infectados. «A diferencia de THUMBSBD, que se encarga de la ejecución de comandos y la exfiltración, VIRUSTASK se centra exclusivamente en convertir en armas medios extraíbles para lograr acceso inicial a sistemas con espacios de aire», explicó Park.

«La campaña Ruby Jumper implica una cadena de infección de múltiples etapas que comienza con un archivo LNK malicioso y utiliza servicios de nube legítimos (como Zoho WorkDrive, Google Drive, Microsoft OneDrive, etc.) para implementar un entorno de ejecución Ruby novedoso y autónomo», dijo Park. «Lo más importante es que THUMBSBD y VIRUSTASK utilizan medios extraíbles como armas para evitar el aislamiento de la red e infectar sistemas aislados».

Los investigadores de ciberseguridad han revelado que los asistentes de inteligencia artificial (IA) que admiten la navegación web o las capacidades de recuperación de URL pueden convertirse en retransmisiones sigilosas de comando y control (C2), una técnica que podría permitir a los atacantes mezclarse con las comunicaciones empresariales legítimas y evadir la detección.

El método de ataque, que se ha demostrado contra Microsoft Copilot y xAI Grok, lleva el nombre en código IA como proxy C2 por Punto de control.

Aprovecha «el acceso web anónimo combinado con navegación y mensajes de resúmenes», dijo la compañía de ciberseguridad. «El mismo mecanismo también puede permitir operaciones de malware asistidas por IA, incluida la generación de flujos de trabajo de reconocimiento, secuencias de comandos de las acciones del atacante y decidir dinámicamente ‘qué hacer a continuación’ durante una intrusión».

El desarrollo señala otra evolución importante en la forma en que los actores de amenazas podrían abusar de los sistemas de inteligencia artificial, no solo para escalar o acelerar diferentes fases del ciclo de ciberataque, sino también aprovechar las API para generar dinámicamente código en tiempo de ejecución que pueda adaptar su comportamiento en función de la información recopilada del host comprometido y evadir la detección.

Las herramientas de IA ya actúan como multiplicador de fuerza para los adversarioslo que les permite delegar pasos clave en sus campañas, ya sea para realizar reconocimientos, escaneo de vulnerabilidades, elaborar correos electrónicos de phishing convincentes, crear identidades sintéticas, depurar código o desarrollar malware. Pero la IA como proxy C2 va un paso más allá.

Básicamente, aprovecha las capacidades de navegación web y recuperación de URL de Grok y Microsoft Copilot para recuperar URL controladas por el atacante y devolver respuestas a través de sus interfaces web, transformándolo esencialmente en un canal de comunicación bidireccional para aceptar comandos emitidos por el operador y canalizar los datos de la víctima.

En particular, todo esto funciona sin requerir una clave API o una cuenta registrada, lo que hace que los enfoques tradicionales como la revocación de clave o la suspensión de cuenta sean inútiles.

Visto de otra manera, este enfoque no es diferente de las campañas de ataque que han convertido en armas servicios confiables para la distribución de malware y C2. También se le conoce como vivir en sitios confiables (LOTS).

Sin embargo, para que todo esto suceda, existe un requisito previo clave: el actor de la amenaza ya debe haber comprometido una máquina por algún otro medio e instalado malware, que luego utiliza Copilot o Grok como canal C2 mediante indicaciones especialmente diseñadas que hacen que el agente de IA se comunique con la infraestructura controlada por el atacante y pase la respuesta que contiene el comando que se ejecutará en el host al malware.

Check Point también señaló que un atacante podría ir más allá de la generación de comandos para utilizar el agente de IA para diseñar una estrategia de evasión y determinar el siguiente curso de acción pasando detalles sobre el sistema y validando si vale la pena explotarlo.

«Una vez que los servicios de IA puedan usarse como una capa de transporte sigilosa, la misma interfaz también puede transmitir indicaciones y resultados de modelos que actúan como un motor de decisión externo, un trampolín hacia los implantes impulsados ​​por IA y C2 estilo AIOps que automatizan la clasificación, la selección de objetivos y las opciones operativas en tiempo real», afirmó Check Point.

La divulgación se produce semanas después de que la Unidad 42 de Palo Alto Networks demostrara una novedosa técnica de ataque en la que una página web aparentemente inocua se puede convertir en un sitio de phishing mediante el uso de llamadas API del lado del cliente a servicios confiables de modelo de lenguaje grande (LLM) para generar JavaScript malicioso dinámicamente en tiempo real.

El método es similar al reensamblaje de la última milla (LMR), que implica contrabandear malware a través de la red a través de canales no monitoreados como WebRTC y WebSocket, e insertarlos directamente en el navegador de la víctima, evitando efectivamente los controles de seguridad en el proceso.

«Los atacantes podrían utilizar indicaciones cuidadosamente diseñadas para eludir las barreras de seguridad de la IA, engañando al LLM para que devuelva fragmentos de código malicioso», afirman los investigadores de la Unidad 42 Shehroze Farooqi, Alex Starov, Diva-Oriane Marty y Billy Melicher. dicho. «Estos fragmentos se devuelven a través de la API del servicio LLM, luego se ensamblan y ejecutan en el navegador de la víctima en tiempo de ejecución, lo que da como resultado una página de phishing completamente funcional».

Una «campaña coordinada dirigida a desarrolladores» utiliza repositorios maliciosos disfrazados de evaluaciones técnicas y proyectos Next.js legítimos para engañar a las víctimas para que los ejecuten y establezcan un acceso persistente a las máquinas comprometidas.

«La actividad se alinea con un grupo más amplio de amenazas que utilizan señuelos con temas laborales para integrarse en los flujos de trabajo rutinarios de los desarrolladores y aumentar la probabilidad de ejecución de código», dijo el equipo de investigación de seguridad de Microsoft Defender. dicho en un informe publicado esta semana.

El gigante tecnológico dijo que la campaña se caracteriza por el uso de múltiples puntos de entrada que conducen al mismo resultado, donde el JavaScript controlado por el atacante se recupera en tiempo de ejecución y se ejecuta para facilitar el comando y control (C2).

Los ataques se basan en que los actores de amenazas establezcan repositorios falsos en plataformas de desarrolladores confiables como Bitbucket, usando nombres como «Cryptan-Platform-MVP1» para engañar a los desarrolladores que buscan trabajos para que se ejecuten como parte de un proceso de evaluación.

Un análisis más profundo de los repositorios identificados ha descubierto tres rutas de ejecución distintas que, si bien se activan de diferentes maneras, tienen el objetivo final de ejecutar un JavaScript controlado por el atacante directamente en la memoria:

• Ejecución del espacio de trabajo de Visual Studio Codedonde los proyectos de Microsoft Visual Studio Code (VS Code) con configuración de automatización del espacio de trabajo se utilizan para ejecutar código malicioso recuperado de un dominio Vercel tan pronto como el desarrollador abre y confía en el proyecto. Esto implica el uso de runOn: «folderOpen» para configurar la tarea.
• Ejecución en tiempo de compilación durante el desarrollo de aplicacionesdonde se ejecuta manualmente el servidor de desarrollo a través de «npm ejecutar desarrollador» es suficiente para activar la ejecución de código malicioso incrustado en bibliotecas de JavaScript modificadas que se hacen pasar por jquery.min.js, lo que hace que busque un cargador de JavaScript alojado en Vercel. Luego, Node.js ejecuta la carga útil recuperada en la memoria.
• Ejecución de inicio del servidor mediante exfiltración del entorno y ejecución dinámica de código remotodonde el inicio del backend de la aplicación provoca que se ejecute una lógica de carga maliciosa oculta dentro de un módulo de backend o un archivo de ruta. El cargador transmite el entorno del proceso al servidor externo y ejecuta JavaScript recibido como respuesta en la memoria dentro del proceso del servidor Node.js.

Microsoft señaló que los tres métodos conducen a la misma carga útil de JavaScript que es responsable de crear perfiles del host y sondear periódicamente un punto final de registro para obtener un identificador «instanceId» único. Este identificador se proporciona posteriormente en encuestas de seguimiento para correlacionar la actividad.

También es capaz de ejecutar JavaScript proporcionado por el servidor en la memoria, lo que en última instancia allana el camino para un controlador de segunda etapa que convierte el punto de apoyo inicial en una vía de acceso persistente para recibir tareas contactando a un servidor C2 diferente y ejecutándolas en la memoria para minimizar dejar rastros en el disco.

Descripción general de la cadena de ataque

«El controlador mantiene la estabilidad y la continuidad de la sesión, publica telemetría de errores en un punto final de informes e incluye lógica de reintento para mayor resistencia», dijo Microsoft. «También rastrea los procesos generados y puede detener la actividad administrada y salir limpiamente cuando se le indique. Más allá de la ejecución de código bajo demanda, la Etapa 2 admite el descubrimiento y la exfiltración impulsados ​​por el operador».

Si bien el fabricante de Windows no atribuyó la actividad a un actor de amenaza específico, el uso de tareas de VS Code y dominios de Vercel para organizar malware es una táctica que ha sido adoptada por piratas informáticos vinculados a Corea del Norte asociados con una campaña de larga duración conocida como Contagious Interview.

El objetivo final de estos esfuerzos es obtener la capacidad de distribuir malware a los sistemas de los desarrolladores, que a menudo contienen datos confidenciales, como código fuente, secretos y credenciales, que pueden brindar oportunidades para profundizar en la red de destino.

Usar las esencias de GitHub en VS Code task.json en lugar de las URL de Vercel

En un informe publicado el miércoles, Abstract Security dicho ha observado un cambio en las tácticas de los actores de amenazas, en particular un aumento en los servidores de preparación alternativos utilizados en los comandos de tareas de VS Code en lugar de las URL de Vercel. Esto incluye el uso de scripts alojados en GitHub gists («gist.githubusercontent[.]com») para descargar y ejecutar cargas útiles de la siguiente etapa. Un enfoque alternativo emplea acortadores de URL como short[.]gy para ocultar las URL de Vercel.

La compañía de ciberseguridad dijo que también identificó un paquete npm malicioso vinculado a la campaña denominada «eslint-validator» que recupera y ejecuta una carga útil ofuscada desde una URL de Google Drive. La carga útil en cuestión es un conocido malware de JavaScript denominado BeaverTail.

Además, se ha descubierto que una tarea maliciosa de VS Code integrada en un repositorio de GitHub inicia una cadena de infección exclusiva de Windows que ejecuta un script por lotes para descargar el tiempo de ejecución de Node.js en el host (si no existe) y aprovecha el programa certutil para analizar un bloque de código contenido en el script. Luego, el script decodificado se ejecuta con el tiempo de ejecución de Node.js obtenido previamente para implementar un malware de Python protegido con PyArmor.

La empresa de ciberseguridad Red Asgard, que también ha sido extensamente rastreando el campaña, dicho Los actores de amenazas han aprovechado proyectos de código VS diseñados que utilizan el disparador runOn: «folderOpen» para implementar malware que, a su vez, consulta la cadena de bloques Polygon para recuperar JavaScript almacenado dentro de un contrato NFT para mejorar la resiliencia. La carga útil final es un ladrón de información que recopila credenciales y datos de navegadores web, billeteras de criptomonedas y administradores de contraseñas.

Distribución de la infraestructura de prueba utilizada por los actores de amenazas norcoreanos en 2025

«Esta campaña dirigida a desarrolladores muestra cómo un ‘proyecto de entrevista’ con tema de reclutamiento puede convertirse rápidamente en un camino confiable hacia la ejecución remota de código al integrarse en flujos de trabajo rutinarios de desarrolladores, como abrir un repositorio, ejecutar un servidor de desarrollo o iniciar un backend», concluyó Microsoft.

Para contrarrestar la amenaza, la compañía recomienda que las organizaciones endurezcan los límites de confianza del flujo de trabajo de los desarrolladores, apliquen una autenticación sólida y un acceso condicional, mantengan una estricta higiene de las credenciales, apliquen el principio de privilegio mínimo a las cuentas de los desarrolladores y creen identidades, y separe la infraestructura de construcción cuando sea posible.

El desarrollo se produce cuando GitLab dijo que prohibió 131 cuentas únicas que participaban en la distribución de proyectos de código malicioso vinculados a la campaña Contagious Interview y el esquema fraudulento de trabajadores de TI conocido como Wagemole.

«Los actores de amenazas normalmente se originaban en VPN de consumidores cuando interactuaban con GitLab.com para distribuir malware; sin embargo, también se originaban de forma intermitente en infraestructuras VPS dedicadas y probablemente en direcciones IP de granjas de portátiles», Oliver Smith de GitLab. dicho. «Los actores de amenazas crearon cuentas utilizando direcciones de correo electrónico de Gmail en casi el 90% de los casos».

En más del 80% de los casos, según la plataforma de desarrollo de software, se dice que los actores de amenazas aprovecharon al menos seis servicios legítimos para alojar cargas útiles de malware, incluidos JSON Keeper, Mocki, npoint.io, Render, Railway.app y Vercel. Entre ellos, Vercel fue el más utilizado, y los actores de amenazas confiaron en la plataforma de desarrollo web no menos de 49 veces en 2025.

«En diciembre, observamos un grupo de proyectos que ejecutaban malware a través de tareas de VS Code, ya sea canalizando contenido remoto a un shell nativo o ejecutando un script personalizado para decodificar malware a partir de datos binarios en un archivo de fuente falso», agregó Smith, corroborando los hallazgos de Microsoft antes mencionados.

Organigrama evaluado de la célula de trabajadores de TI de Corea del Norte

GitLab también descubrió un proyecto privado «casi con certeza» controlado por un ciudadano norcoreano que administra una célula de trabajadores de TI de Corea del Norte que contenía registros financieros y de personal detallados que mostraban ganancias de más de $ 1,64 millones entre el primer trimestre de 2022 y el tercer trimestre de 2025. El proyecto incluía más de 120 hojas de cálculo, presentaciones y documentos que rastreaban el desempeño de los ingresos trimestrales de los miembros individuales del equipo.

«Los registros demuestran que estas operaciones funcionan como empresas estructuradas con objetivos y procedimientos operativos definidos y una estrecha supervisión jerárquica», señaló GitLab. «La capacidad demostrada de esta célula para cultivar facilitadores a nivel mundial proporciona un alto grado de resiliencia operativa y flexibilidad en el lavado de dinero».

Una cuenta de GitHub asociada con un trabajador de TI de Corea del Norte

En un informe publicado a principios de este mes, Okta dijo que la «gran mayoría» de las entrevistas con trabajadores de TI no avanzan hacia una segunda entrevista u oferta de trabajo, pero señaló que están «aprendiendo de sus errores» y que un gran número de ellos buscan trabajo por contrato temporal como desarrolladores de software contratados por empresas de terceros para aprovechar el hecho de que es poco probable que apliquen verificaciones de antecedentes rigurosas.

«Sin embargo, algunos actores parecen ser más competentes a la hora de crear personajes y pasar entrevistas de proyección», afirma. agregado. Está en juego una especie de selección natural del trabajador de TI. Los actores más exitosos son muy prolíficos y programaron cientos de entrevistas cada uno.»