Descubre Noticias de Ciberseguridad en nuestro TecnetBlog

DeceptiveDevelopment: Fraudes de Empleo y Malware que Te Espían

Escrito por Eduardo Morales | Sep 26, 2025 1:15:00 PM

Si publicas vacantes tecnológicas o buscas trabajo como dev, diseñador o data engineer, este aviso te interesa. Un actor alineado con Corea del Norte, conocido como DeceptiveDevelopment, se especializa en ingeniería social: simula ser reclutador, te manda a un “reto técnico” y, en realidad, te hace descargar código adulterado. Su objetivo: robar credenciales, vaciar wallets, tomar control de tu equipo y, de paso, alimentar campañas de trabajadores IT encubiertos que buscan contratos remotos con identidades sintéticas.

En TecnetOne te contamos cómo funciona, qué herramientas usa y qué puedes hacer para no caer.

 

El truco principal: ofertas “soñadas”, retos en GitHub privado y ClickFix

 

El grupo actúa en LinkedIn, Upwork, Freelancer o portales de Web3. Montan perfiles de “recruiters” y te ofrecen una oportunidad bien pagada. El filtro “técnico” es un repositorio privado (GitHub/GitLab/Bitbucket) con un proyecto aparentemente normal… salvo que es troyanizado. El payload inicial suele ser BeaverTail (o su evolución OtterCookie) y, a partir de ahí, descargan un RAT modular de segunda etapa (InvisibleFerret) para robar datos del navegador, wallets y dejar control remoto (AnyDesk incluido).

Han incorporado además ClickFix: te llevan a una web de “entrevista” que te pide cámara, “falla” y te muestra un paso a paso para “arreglar” el problema. Lo que copias y pegas en la terminal no repara nada: descarga y ejecuta malware (Windows, macOS y también Linux, según hallazgos recientes).

 

Un arsenal multiplataforma: Python, JavaScript, Go y .NET

 

DeceptiveDevelopment no es un único binario: es cadena de infección por etapas y tooling variado.

 

  1. BeaverTail / OtterCookie (JS / C++ Qt): primer ladrón de info (credenciales, llaveros, extensiones cripto) y descargador del segundo escenario.

 

  1. InvisibleFerret (Python): modular, añade RAT, keylogger/clipboard y AnyDesk.

 

  1. WeaselStore (Go y también versión Python): roba datos de navegadores y wallets y sigue activo como RAT tras exfiltrar. Lo entregan incluso como código Go con el toolchain para compilar en Windows, Linux y macOS.

 

  1. TsunamiKit (.NET): una cadena compleja con spyware, minería cripto (XMRig/NBMiner), persistencia y exclusiones en Defender.

 

  1. Backdoors nativos avanzados (Tropidoor, AkdoorTea): piezas más sofisticadas que comparten rasgos con familias usadas por otros actores norcoreanos. Indican intercambio de herramientas y evolución.

 

El patrón: poca magia zero-day y mucha creatividad social, más reutilización y adopción de proyectos sombríos ya existentes. Resultado: campañas baratas, escalables y efectivas.

 

Títulos similares: Malware Dropper: La Amenaza Silenciosa en Ciberseguridad

 

¿Dónde encajan los “IT workers” norcoreanos?

 

Aquí aparece el segundo bloque del ecosistema, apodado WageMole: trabajadores IT encubiertos que buscan empleo remoto con CVs falsos, fotos manipuladas con IA y hasta face-swap en entrevistas. Operan por equipos fuera de Corea del Norte (China, Rusia, Sudeste Asiático), con “jefes” que marcan cuotas, guiones para hablar con clientes y largas jornadas dedicadas a conseguir contratos, ejecutar tareas y formarse (web, blockchain, inglés, IA).

¿Cómo se conectan ambos mundos?

 

  1. DeceptiveDevelopment roba credenciales y identidades (cuentas, documentos, perfiles).

 

  1. Esas identidades comprometidas alimentan a los IT workers, que las usan para pasar filtros y obtener puestos.

 

  1. Una vez dentro, pueden extraer datos, desviar pagos, subcontratar “proxies” humanos en terceros países y, en el peor caso, actuar como amenaza interna.

 

El impacto para tu empresa: brechas, fraude de nómina, fuga de propiedad intelectual y riesgo regulatorio (sanciones, cumplimiento).

 

Figura 1. Cadena de ejecución de WeaselStore (Fuente: welivesecurity)

 

Cómo te atacan si eres candidato (y si eres empresa)

 

Si buscas trabajo:

 

  1. Te contacta un “recruiter” con oferta atractiva.

 

  1. Te piden un reto desde repo privado o una entrevista en una web propia.

 

  1. Copias un comando “para habilitar la cámara” (ClickFix) o compilas un proyecto “inocente”.

 

  1. Se ejecuta el downloader (BeaverTail/OtterCookie) RAT (InvisibleFerret/WeaselStore) → exfiltración (cookies, sesiones, wallets).

 

Si eres empresa que contrata:

 

  1. Recibes candidatos impecables (portafolios pulidos, identidad coherente… pero fabricada).

 

  1. En entrevistas remotas usan IA para alterar imagen/voz o delegan en “proxies”.

 

  1. Una vez contratados, acceden a repos, CRM, nubes.

 

  1. Pueden exfiltrar datos o infiltrar malware a través de dependencias, RMM o pipelines.

 


Figura 2. Algunos comandos de Windows implementados internamente en el código de Tropidoor (Fuente: welivesecurity)

 

Señales de alerta que puedes detectar

 

Para profesionales y equipos de TI:

 

  1. Repos privados que, al abrir, tienen comentarios kilométricos fuera del viewport o scripts ofuscados.

 

  1. Instrucciones “de soporte” que te piden pegar comandos en PowerShell/Terminal.

 

  1. “Entrevistas” en sitios no corporativos (dominios recién creados, sin política de privacidad).

 

  1. Binarios “auxiliares” con nombres de video/conferencia que piden permisos extra.

 

Para RR. HH. y Seguridad:

 

  1. CVs impecables pero genéricos, con incongruencias temporales o geográficas.

 

  1. Video-entrevistas con latencia extraña, artefactos o rasgos faciales que “saltan”.

 

  1. Candidatos que evitan pruebas en vivo o piden usar su propio dispositivo/conexión.

 

  1. Accesos desde geolocalizaciones inusuales o saltos de IP en la misma jornada.

 

Figura 3. Análisis de versión en Akdoor de 2018 y AkdoorTea de 2025 (Fuente: welivesecurity)

 

Qué puedes hacer hoy (y cómo te ayudamos desde TecnetOne)

 

Para personas (candidatos y freelancers)

 

  1. Nunca pegues comandos que no entiendas. Si hay “problemas de cámara”, reinicia el navegador/SO; no ejecutes scripts de terceros.

 

  1. Aísla entornos: usa una VM o equipo secundario para retos técnicos.

 

  1. Cierra sesiones y rota contraseñas si abriste repos sospechosos; revoca tokens en GitHub/GitLab/Bitbucket.

 

  1. Passkeys/MFA en todo (correo, nubes, cripto, dev-tools).

 

  1. Monitorea wallets y cambia frases semilla si hubo exposición.

 

Para empresas (TI, RR. HH., Legal)

 

  1. Proceso seguro de hiring técnico: retos en entornos aislados (sandboxes/VDI), nada de repos privados externos del candidato.

 

  1. Verificación de identidad robusta: prueba de vida, comparación biométrica autorizada, orígenes de IP y documentos contrastados.

 

  1. Zero-trust por defecto al onboarding: mínimo privilegio, acceso just-in-time, revisión de actividades en repos y nubes.

 

  1. Protección del navegador (aislamiento, control de extensiones) y EDR/XDR con reglas para ClickFix, PowerShell a curl/base64, ofuscación y AnyDesk no autorizado.

 

  1. DFIR runbooks para casos de infostealers y robo de sesiones; rotación automática de cookies/tokens y invalidación de refresh tokens en SaaS.

 

  1. Formación específica para RR. HH. sobre fraude de identidad con IA (deepfakes, proxies, portafolios clonados).

 

Qué hace TecnetOne por ti

 

  1. Threat Hunting proactivo para detectar BeaverTail/OtterCookie/InvisibleFerret/WeaselStore/TsunamiKit y patrones de ClickFix.

 

  1. Hardening de endpoints y navegadores, bloqueo de script-based loaders y RATs conocidos.

 

  1. Auditoría de procesos de selección: diseño de retos en sandbox, verificación documental, pruebas en VDI controlado y guías anti-fraude para recruiters.

 

  1. Gestión de identidades y accesos (IAM) con MFA/Passkeys, RBAC, JIT y revisión continua de permisos.

 

  1. Respuesta a incidentes 24/7 y contención rápida (revocación de tokens, rotación de secretos, limpieza de sesiones y laptops).

 

  1. Concienciación para tus equipos (TI, RR. HH., Hiring Managers) con simulaciones de entrevista y laboratorios de detección.

 

También podría interesarte: Nueva variante del malware Chamaleon

 

Conclusión

 

DeceptiveDevelopment no es “otro troyano”: es una fábrica de engaños que mezcla phishing de empleo, ClickFix, malware modular y trabajadores IT encubiertos con IA. Si publicas vacantes o trabajas en tech, estás en su radar.

La buena noticia: con procesos de contratación blindados, controles de acceso granulares, detección en endpoint/navegador y respuesta ágil, puedes cerrarles la puerta. En TecnetOne ya estamos ayudando a empresas como la tuya a detectar, bloquear y desmantelar estas campañas antes de que tengan impacto.

¿Quieres que revisemos tu proceso de selección técnica y tu superficie de ataque para cerrar las brechas que explotan este tipo de actores?

 
Ver post completo