Redacción Digital Inside España
La unidad de ciberinteligencia Unit 42 de Palo Alto Networks ha desvelado una campaña activa desde 2024, atribuida al grupo norcoreano Slow Pisces —también conocido como Jade Sleet, TraderTraitor o PUKCHONG—, que tiene como objetivo a desarrolladores del sector blockchain y criptoactivos. Dicho grupo actúa suplantando a reclutadores en LinkedIn y facilitando supuestas pruebas técnicas a través de repositorios en GitHub, que contienen código malicioso cuidadosamente oculto.
La campaña se centra en el uso de archivos PDF con ofertas de trabajo y retos de programación que enlazan a proyectos aparentemente legítimos. Una vez descargado y ejecutado el contenido, se activa un mecanismo de infección altamente dirigido que compromete únicamente a usuarios previamente validados por los servidores de comando y control.
Malware residente en memoria y evasión sofisticada
Los investigadores han identificado dos herramientas clave utilizadas en esta operación: RN Loader y RN Stealer. Ambas actúan en memoria, sin dejar rastros evidentes en disco, y emplean técnicas avanzadas para evitar su detección, como la deserialización YAML en Python o el uso de la función escapeFunction en plantillas EJS de JavaScript.
Estas cargas maliciosas son entregadas en tres etapas: primero, mediante el contacto directo con víctimas seleccionadas en redes sociales profesionales; después, a través de repositorios camuflados en GitHub con referencias a fuentes fiables como Wikipedia o CoinGecko; y, finalmente, mediante la ejecución de código que permite acceder a credenciales, claves SSH y configuraciones de servicios en la nube como AWS, Google Cloud o Kubernetes.
Impacto económico y respuesta de las plataformas
Los ataques de Slow Pisces han tenido consecuencias económicas notables. Solo en 2023, se le atribuyen robos superiores a mil millones de dólares mediante múltiples vectores, entre ellos aplicaciones falsas de trading y malware distribuido en gestores de paquetes como NPM. El FBI responsabiliza al grupo del robo de 308 millones de dólares en una plataforma japonesa, y otro incidente reciente en Dubái habría supuesto pérdidas por valor de 1.500 millones.
Ante esta amenaza, GitHub y LinkedIn han colaborado con Palo Alto Networks para eliminar los perfiles fraudulentos y reforzar sus sistemas de detección de cuentas maliciosas. Por su parte, la firma de ciberseguridad ha puesto a disposición de la comunidad investigadora las muestras de malware detectadas a través de VirusTotal.
Recomendaciones para el ecosistema cripto
Esta campaña pone de manifiesto la necesidad de elevar el nivel de preparación frente a ataques sofisticados dirigidos al ecosistema cripto. Los expertos de Palo Alto Networks recomiendan a las empresas del sector:
- Segregar el uso de dispositivos personales y corporativos para evitar contaminaciones cruzadas.
- Auditar todos los repositorios utilizados en procesos de selección técnica.
- Formar a los equipos de desarrollo en técnicas actuales de evasión y malware.
- Monitorizar el tráfico saliente en busca de conexiones anómalas con dominios aparentemente legítimos.
- Verificar exhaustivamente cualquier colaboración técnica que implique la ejecución local de código.
Las tecnologías de Palo Alto Networks, como Next-Generation Firewall, Advanced URL Filtering y Advanced DNS Security, ya están preparadas para detectar y mitigar las amenazas asociadas a esta campaña.
