Blog Blog

Análisis de la campaña de ofertas de empleo falsa orquestada por grupo denominado UNC6229.

October 28, 2025
Emiliano Enzo Vega (ArongSecurity)
Análisis de la campaña de ofertas de empleo falsa orquestada por grupo denominado UNC6229.

El grupo de inteligencia de amenazas de Google (GTIG) ha identificado una sofisticada campaña de ciberdelincuencia, rastreada como UNC6229, (con presencia en LATAM) orquestada por un grupo con motivación financiera. Esta operación se distingue por el uso de una elaborada táctica de ingeniería social centrada en la publicación de falsas ofertas de empleo. La importancia estratégica de comprender esta amenaza radica en su método de ataque, que explota la confianza humana inherente al proceso de búsqueda de empleo y abusa de plataformas empresariales legítimas para eludir los filtros de seguridad y aumentar la credibilidad de sus comunicaciones.

A continuación, se presentan los hallazgos más críticos sobre la campaña de UNC6229:

  • Identificación del actor: la actividad se atribuye con alta confianza a un grupo de ciberdelincuentes con motivación financiera que opera desde Vietnam.
  • Táctica principal: el grupo utiliza una táctica de "oferta de empleo falsa", atrayendo a profesionales de los sectores de la publicidad y el marketing digital con ofertas de empleo fraudulentas para iniciar el contacto.
  • Objetivo final: el propósito último de la campaña es el compromiso de cuentas corporativas de publicidad y redes sociales de alto valor para su posterior monetización.
  • Vectores de ataque: unc6229 despliega un doble vector de ataque, utilizando troyanos de acceso remoto (RATs) para obtener control total de los dispositivos y kits de phishing avanzados capaces de eludir la autenticación multifactor (MFA).
  • Abuso de infraestructura: los atacantes utilizan plataformas legítimas de CRM (Customer Relationship Management) y SaaS (Software as a Service) para enviar comunicaciones, lo que les permite eludir los filtros de seguridad y aumentar la credibilidad de sus mensajes.

Este informe procederá a detallar el perfil del actor de la amenaza, su modus operandi y las medidas recomendadas para mitigar el riesgo asociado a esta campaña.

Perfil del actor de amenaza: UNC6229

Perfilar a los actores de amenazas es un componente fundamental de una estrategia de defensa proactiva. Entender el origen, la motivación y la estructura operativa de UNC6229 permite a las organizaciones anticipar sus movimientos y desarrollar contramedidas más efectivas.

Las características clave del grupo UNC6229 son las siguientes:

  • Origen: el grupo de inteligencia de amenazas de Google (GTIG) evalúa con alta confianza que el grupo opera desde Vietnam.
  • Motivación: la principal motivación del grupo es financiera. Su objetivo es obtener acceso a activos corporativos valiosos para monetizarlos directamente, ya sea mediante su uso o su venta a otros actores maliciosos.
  • Estructura operativa: se describe a UNC6229 como un "clúster colaborativo" de individuos. La evidencia sugiere que comparten herramientas, técnicas e infraestructura en foros privados, lo que indica un nivel significativo de madurez y organización operativa.

Con este perfil en mente, el siguiente apartado desglosa la metodología de ataque que define a este grupo.

Análisis del ataque

La eficacia de la táctica de ingeniería social de la "oferta de empleo falsa" reside en un principio psicológico clave: la víctima inicia el contacto. Al postularse voluntariamente a una oferta de empleo, el objetivo establece una base de confianza que los atacantes explotan metódicamente a lo largo de una cadena de ataque de varias fases.

El modus operandi de UNC6229 sigue una secuencia lógica y estructurada:

  • Fase 1: el señuelo - publicación de ofertas falsas
    • UNC6229 crea perfiles de empresas falsas, a menudo haciéndose pasar por agencias de medios digitales y reclutadores. Publican atractivas ofertas de empleo, generalmente para puestos remotos, en plataformas legítimas como LinkedIn, mercados de freelancers y sus propios sitios web fraudulentos, como staffvirtual[.]website.
  • Fase 2: establecimiento de confianza - contacto iniciado por la víctima
    • Al postularse, las víctimas proporcionan voluntariamente su información personal, incluyendo nombre, currículum y datos de contacto. Esta acción autoiniciada es crucial, ya que hace que las comunicaciones posteriores del atacante parezcan una respuesta legítima a una solicitud genuina, disminuyendo así las sospechas.
  • Fase 3: contacto inicial y creación de confianza
    • Los actores inician un contacto personalizado a través de correo electrónico o mensajería directa. Esta comunicación inicial es deliberadamente benigna, haciendo referencia a la solicitud de empleo específica del candidato y dirigiéndose a él por su nombre. Críticamente, este primer contacto no contiene enlaces ni archivos adjuntos y está diseñado exclusivamente para obtener una respuesta y establecer una relación de confianza, bajando la guardia de la víctima antes de la entrega de la carga útil.
  • Fase 4: entrega de la carga útil - doble vector de ataque
    • Una vez establecida la comunicación, los atacantes proceden a entregar la carga útil maliciosa a través de dos métodos principales:
      • Entrega de malware: envían archivos .zip protegidos por contraseña, disfrazados de pruebas de habilidades, formularios de solicitud o tareas preliminares. Se instruye a la víctima que abrir el archivo es un paso obligatorio en el proceso de contratación. Estos archivos contienen troyanos de acceso remoto (RATs) que, una vez ejecutados, otorgan al atacante control total sobre el dispositivo de la víctima.
      • Enlaces de phishing: envían enlaces, a menudo ofuscados con acortadores de url, que redirigen a la víctima a páginas de phishing muy convincentes. Estos sitios fraudulentos simulan ser portales para programar entrevistas y están diseñados para robar credenciales corporativas, incluyendo la capacidad para manejar esquemas de autenticación multifactor (MFA) de proveedores como Okta y Microsoft.

La ejecución exitosa de esta cadena de ataque proporciona a UNC6229 el acceso necesario para cumplir sus objetivos financieros finales.

Objetivos y estrategia de monetización

Analizar los objetivos de un atacante es crucial para comprender el impacto real de una amenaza en el negocio. El objetivo final de UNC6229 es el acceso a activos digitales de alto valor, específicamente cuentas corporativas de publicidad y redes sociales, para su explotación financiera directa. Una vez que obtienen el control, emplean varias estrategias para monetizar su acceso.

Los métodos específicos que UNC6229 utiliza para capitalizar los accesos obtenidos incluyen:

  • Venta de publicidad: utilizan las cuentas de publicidad comprometidas para vender y ejecutar anuncios en nombre de otros actores maliciosos.
  • Venta de cuentas: venden el acceso directo a las cuentas corporativas de publicidad y redes sociales comprometidas a otros ciberdelincuentes en foros clandestinos.
  • Venta de datos de víctimas: recopilan listas seleccionadas de buscadores de empleo activos. Estos datos pueden ser reutilizados por UNC6229 para futuros "correos fríos" sobre otras oportunidades de empleo falsas o vendidos a otros grupos delictivos para sus propias campañas.

Estas estrategias de monetización están directamente relacionadas con el perfil de las víctimas que el grupo elige como objetivo.

Perfil de las víctimas y expansión potencial de la amenaza

La selección de objetivos por parte de UNC6229 no es aleatoria; es una decisión calculada para maximizar la probabilidad de acceder a los activos que desean monetizar. El riesgo se amplifica significativamente en entornos de trabajo remoto y políticas de "Trae tu propio dispositivo". Si la víctima es comprometida mientras utiliza un ordenador de trabajo con una cuenta personal, o un dispositivo personal con acceso a cuentas publicitarias de la empresa, los atacantes pueden obtener acceso a dichas cuentas corporativas.

El perfil de las víctimas principales de esta campaña incluye:

  • Industria: profesionales que trabajan en los sectores de marketing y publicidad digital.
  • Tipo de empleo: trabajadores remotos con contratos temporales o a tiempo parcial.
  • Comportamiento clave: individuos que pueden estar buscando activamente un nuevo empleo mientras ya están trabajando, lo que los hace más propensos a tener acceso a cuentas corporativas valiosas.

Perspectiva de la amenaza

El GTIG advierte que se espera que UNC6229 y otros actores maliciosos continúen refinando estas tácticas. Es muy probable que expandan su enfoque a otras industrias donde los empleados manejan activos corporativos valiosos. Además, el abuso de plataformas legítimas de SaaS y CRM para campañas maliciosas es una tendencia creciente que desafía los métodos de detección tradicionales, lo que subraya la necesidad de una mayor vigilancia.

Dada la naturaleza adaptable y sofisticada de esta amenaza, es crucial que las organizaciones revisen y refuercen sus contramedidas y defensas de seguridad.

Medidas defensivas y mitigación

Aunque la táctica de ingeniería social de UNC6229 es sofisticada, existen medidas proactivas que las organizaciones y los individuos pueden implementar para reducir significativamente el riesgo de compromiso. La defensa contra este tipo de amenaza requiere una combinación de concienciación humana y controles técnicos específicos.

Se recomiendan las siguientes contramedidas y acciones de mitigación:

  • Concienciación y formación de empleados: mejorar la formación de los empleados sobre los riesgos de la ingeniería social en el contexto de la contratación. Se debe entrenar al personal para que desconfíe de solicitudes para descargar archivos protegidos por contraseña como un paso obligatorio del proceso de contratación y para que verifique la legitimidad de los reclutadores a través de canales independientes antes de interactuar.
  • Implementación de seguridad robusta en cuentas: implementar y hacer cumplir soluciones de MFA resistentes al phishing, dado que los kits de phishing del actor están diseñados para eludir las implementaciones estándar de Okta y Microsoft. Esto es crucial para protegerse contra el robo de credenciales en un escenario de ataque dirigido.
  • Monitoreo y defensa técnica: las defensas a nivel de red y de punto final siguen siendo críticas. Como parte de sus esfuerzos de mitigación, Google ha añadido la infraestructura maliciosa identificada (dominios y archivos) a su lista de bloqueo de Navegación Segura (Safe Browsing). Las organizaciones deben asegurarse de que sus propias defensas técnicas estén actualizadas para bloquear los indicadores conocidos.

Fuentes:

https://cloud.google.com/blog/topics/threat-intelligence/vietnamese-actors-fake-job-posting-campaigns?linkId=17402645

https://cybersecuritynews.com/google-warns-of-threat-actors-using-fake-job-posting/

Emiliano Enzo Vega (ArongSecurity)

Emiliano Enzo Vega (ArongSecurity)

Hacker Ético | Analista de ciberseguridad | OSINT | Ciberinteligencia |

Volver al blog