Ir al contenido principal

Nueva campaña de malware en LinkedIn y GitHub: así opera Slow Pisces para atacar al sector cripto

Nueva campaña dirigida por el grupo norcoreano Slow Pisces, TraderTraitor o PUKCHONG.
| News Release
  • El grupo norcoreano Slow Pisces suplanta a reclutadores en LinkedIn y distribuye falsos retos de programación a través de GitHub para infiltrar RN Loader y RN Stealer, dos herramientas diseñadas para operar en memoria y robar información sensible. 
  • La campaña, dirigida a desarrolladores del ecosistema cripto, ya ha sido vinculada a robos por valor de más de 1.000 millones de dólares y destaca por el uso de técnicas avanzadas como YAML deserialization y ejecución encubierta en EJS.

Madrid, 24 de abril de 2025 – Investigadores de la unidad de ciberinteligencia Unit 42 de Palo Alto Networks (NASDAQ: PANW) han identificado una nueva campaña dirigida por el grupo norcoreano Slow Pisces, también conocido como Jade Sleet, TraderTraitor o PUKCHONG. Este actor, vinculado al régimen de Pyongyang, continúa explotando redes sociales profesionales como LinkedIn para contactar con desarrolladores del sector de las criptomonedas y hacerles llegar supuestos retos de programación que, en realidad, contienen malware personalizado de nueva generación.

La campaña, en curso desde 2024, utiliza PDFs aparentemente legítimos con descripciones de empleo y pruebas técnicas que enlazan a proyectos alojados en GitHub. Los repositorios, camuflados como herramientas para analizar datos financieros o meteorológicos, incluyen código en Python o JavaScript que, al ejecutarse, activa una cadena de infección altamente selectiva y sigilosa.

Entre las herramientas descubiertas en esta operación destacan RN Loader y RN Stealer, dos cargas maliciosas entregadas exclusivamente a víctimas validadas por el propio servidor de comando y control (C2). Estas herramientas actúan en memoria y emplean técnicas avanzadas como la deserialización YAML en Python o la explotación de escapeFunction en plantillas EJS de JavaScript, dificultando así su detección y análisis.

El modus operandi detectado se basa en tres fases:

  1. Captación mediante ingeniería social: Los atacantes se hacen pasar por reclutadores en LinkedIn y envían archivos PDF con retos técnicos a desarrolladores del ecosistema cripto.
  2. Repositorios maliciosos: Los ejercicios remiten a repositorios en GitHub que simulan ser proyectos reales, pero contienen conexiones con servidores C2 encubiertos entre fuentes legítimas como Wikipedia o CoinGecko.
  3. Entrega del malware: Una vez verificado el entorno de la víctima, se ejecuta un payload que permite recopilar datos del sistema y robar credenciales, SSH keys y configuraciones de servicios como AWS, Google Cloud o Kubernetes.

Solo en 2023, se estima que Slow Pisces robó más de mil millones de dólares a través de diferentes técnicas, como aplicaciones de trading falsas, ataques a la cadena de suministro y distribución de malware mediante NPM. El FBI atribuyó al grupo el robo de 308 millones de dólares a una plataforma japonesa, y se le relaciona también con un reciente incidente en Dubái con un impacto económico estimado en 1.500 millones de dólares.

Palo Alto Networks ha colaborado con GitHub y LinkedIn para desactivar las cuentas y repositorios utilizados en esta operación. Ambas plataformas han confirmado la eliminación de los perfiles maliciosos y han reforzado sus procesos de supervisión.

Los clientes de Palo Alto Networks cuentan con protección frente a estas amenazas mediante tecnologías como Next-Generation Firewall, Advanced URL Filtering y Advanced DNS Security. Además, se ha puesto a disposición de la comunidad investigadora las muestras analizadas a través de VirusTotal, con el objetivo de mejorar la detección colectiva.

Recomendaciones para empresas del sector cripto:

  • Segregar el uso de dispositivos personales y corporativos para evitar que campañas dirigidas afecten a entornos empresariales.
  • Auditar los repositorios utilizados en procesos de selección o evaluación técnica.
  • Formar a los equipos de desarrollo en técnicas avanzadas de evasión y malware.
  • Monitorizar anomalías en tráfico saliente hacia dominios aparentemente legítimos.
  • Extremar la precaución ante solicitudes de colaboración técnica recibidas por canales no verificados y revisar cualquier proyecto que solicite ejecución local de código.

Esta campaña ha demostrado ser altamente exitosa según informes públicos sobre robos a plataformas cripto, y todo apunta a que continuará durante 2025.

Si deseas conocer todos los detalles técnicos y operativos de esta campaña, puedes consultar el informe completo publicado en el blog de Unit 42.

Contacto de prensa:

ATREVIA
Iva Roumenova / Miguel Expósito / Inma Guerra
+34 629 165 828 / +34 673 339 982 / +34 722 378 383
[email protected]

Etiquetas:
, , , ,

NOTA DE PRENSA: La información publicada aquí corresponde a una nota de prensa de la empresa/proyecto citado. Las afirmaciones son bajo su responsabilidad. Cryptopress® no será responsable de ningún daño o pérdida causados por su uso.

*Publica tu nota de prensa aquí.

Relacionado:

  1. Tokens no fungibles: la guía Los tokens no fungibles (NFT) son un nuevo tipo de token que está representado por unidades criptográficas únicas, lo que significa que cada token tiene un valor único. ...
  2. Floki regresa a Londres con una agresiva campaña publicitaria Llega una segunda campaña publicitaria de Floki en Londres después de la controvertida primera campaña....
  3. Review de CryptoGames: ¡Ahora puedes jugar Keno y ganar grandes recompensas! CryptoGames proporciona nuevos niveles de éxito en el mundo competitivo....
  4. Ethena Airdrop 2: La campaña de Sats ETHENA, EL PROYECTO DETRÁS DEL TOKEN ENA Y LA MONEDA ESTABLE USDe, HA ESTADO GENERANDO RUMORES SOBRE UN POSIBLE AIRDROP....

Suscríbete al Newsletter

Clic aquí       

Noticias

Artículos

Más

Recursos

© Cryptopress. Derechos reservados.
Contacto

[email protected]

Política de privacidad.