Investigadores de la unidad de ciberinteligencia Unit 42 de Palo Alto Networks han identificado una nueva campaña dirigida por el grupo norcoreano Slow Pisces, también conocido como Jade Sleet, TraderTraitor o PUKCHONG. Este actor, vinculado al régimen de Pyongyang, continúa explotando redes sociales profesionales como LinkedIn para contactar con desarrolladores del sector de las criptomonedas y hacerles llegar supuestos retos de programación que, en realidad, contienen malware personalizado de nueva generación.

La campaña, en curso desde 2024, utiliza PDFs aparentemente legítimos con descripciones de empleo y pruebas técnicas que enlazan a proyectos alojados en GitHub. Los repositorios, camuflados como herramientas para analizar datos financieros o meteorológicos, incluyen código en Python o JavaScript que, al ejecutarse, activa una cadena de infección altamente selectiva y sigilosa.

Entre las herramientas descubiertas en esta operación destacan RN Loader y RN Stealer, dos cargas maliciosas entregadas exclusivamente a víctimas validadas por el propio servidor de comando y control (C2). Estas herramientas actúan en memoria y emplean técnicas avanzadas como la deserialización YAML en Python o la explotación de escapeFunction en plantillas EJS de JavaScript, dificultando así su detección y análisis.

El modus operandi detectado se basa en tres fases:

1. Captación mediante ingeniería social: Los atacantes se hacen pasar por reclutadores en LinkedIn y envían archivos PDF con retos técnicos a desarrolladores del ecosistema cripto.
2. Repositorios maliciosos: Los ejercicios remiten a repositorios en GitHub que simulan ser proyectos reales, pero contienen conexiones con servidores C2 encubiertos entre fuentes legítimas como Wikipedia o CoinGecko.
3. Entrega del malware: Una vez verificado el entorno de la víctima, se ejecuta un payload que permite recopilar datos del sistema y robar credenciales, SSH keys y configuraciones de servicios como AWS, Google Cloud o Kubernetes.

Solo en 2023, se estima que Slow Pisces robó más de mil millones de dólares a través de diferentes técnicas, como aplicaciones de trading falsas, ataques a la cadena de suministro y distribución de malware mediante NPM. El FBI atribuyó al grupo el robo de 308 millones de dólares a una plataforma japonesa, y se le relaciona también con un reciente incidente en Dubái con un impacto económico estimado en 1.500 millones de dólares.

Palo Alto Networks ha colaborado con GitHub y LinkedIn para desactivar las cuentas y repositorios utilizados en esta operación. Ambas plataformas han confirmado la eliminación de los perfiles maliciosos y han reforzado sus procesos de supervisión.

Los clientes de Palo Alto Networks cuentan con protección frente a estas amenazas mediante tecnologías como Next-Generation Firewall, Advanced URL Filtering y Advanced DNS Security. Además, se ha puesto a disposición de la comunidad investigadora las muestras analizadas a través de VirusTotal, con el objetivo de mejorar la detección colectiva.

Recomendaciones para empresas del sector cripto:

• Segregar el uso de dispositivos personales y corporativos para evitar que campañas dirigidas afecten a entornos empresariales.
• Auditar los repositorios utilizados en procesos de selección o evaluación técnica.
• Formar a los equipos de desarrollo en técnicas avanzadas de evasión y malware.
• Monitorizar anomalías en tráfico saliente hacia dominios aparentemente legítimos.
• Extremar la precaución ante solicitudes de colaboración técnica recibidas por canales no verificados y revisar cualquier proyecto que solicite ejecución local de código.

Esta campaña ha demostrado ser altamente exitosa según informes públicos sobre robos a plataformas cripto, y todo apunta a que continuará durante 2025.

Si deseas conocer todos los detalles técnicos y operativos de esta campaña, puedes consultar el informe completo publicado en el blog de Unit 42.