Vinculado a operadores vietnamitas, este ladrón de datos ha pasado de usar estafas de IA a crear falsas ofertas de trabajo remoto. Su última “mejora” es inflar sus archivos con millones de insultos para sobrecargar los sistemas de análisis automático.
El mundo del cibercrimen tiene de todo, desde sindicatos corporativos hasta trolls. Hoy 16 de febrero de 2026, que los creadores del infostealer Noodlophile (descubierto originalmente en mayo de 2025) han dado un giro radical a sus operaciones y han añadido una capa de inmadurez técnica bastante peculiar a su código.
Asociados al grupo de amenazas vietnamita UNC6229, los operadores han abandonado sus antiguas campañas basadas en falsos generadores de video con IA. Ahora, están explotando una vulnerabilidad mucho más humana: la necesidad de encontrar trabajo.
La Trampa: “Haz este test de habilidades”
La nueva campaña de Noodlophile se centra en ofertas de trabajo remoto falsas.
- El Objetivo: Buscadores de empleo, estudiantes y profesionales del marketing digital.
- El Engaño: Los atacantes contactan a las víctimas (a menudo vía LinkedIn u otras plataformas) y les piden que descarguen un archivo ZIP que supuestamente contiene un “formulario de solicitud” o un “test de evaluación de habilidades”.
- La Ejecución: Al abrir los archivos, utilizan técnicas de DLL Sideloading para instalar sigilosamente el malware y troyanos de acceso remoto (RAT), mientras la víctima cree que está llenando un simple documento de Word o PDF.
- El Botín: Una vez dentro, roban credenciales guardadas en navegadores, billeteras de criptomonedas y envían los datos a los atacantes utilizando bots de Telegram como servidores de Comando y Control (C2).
El “Bloatware” Vengativo
Lo que ha llamado la atención de los analistas es la técnica de evasión introducida en las variantes más recientes. En respuesta a reportes de seguridad previos que expusieron sus tácticas, los desarrolladores de Noodlophile añadieron una característica de represalia:
Han “inflado” (bloated) los archivos maliciosos repitiendo millones de veces una frase vulgar en vietnamita dirigida específicamente a la firma de seguridad Morphisec.
- No es solo un insulto: Esta rabieta digital tiene un propósito técnico. Al crear archivos gigantes llenos de texto basura, buscan sobrecargar la memoria y provocar bloqueos (crashes) en las herramientas de análisis de malware basadas en IA o en scripts de Python que intentan desensamblar el código automáticamente.
Mejoras Técnicas Reales
Detrás de la inmadurez, el código se ha vuelto más peligroso:
- Resolución de API Dinámica: Usan el algoritmo de hash rotativo djb2 para ocultar las funciones del sistema que el malware está llamando, haciendo que el análisis estático sea mucho más difícil.
- Validación de Firma: El malware ahora verifica su propia integridad. Si un analista intenta modificar un solo byte del código para depurarlo, el programa se cierra de inmediato.
- Cifrado RC4 y XOR: Han ocultado su archivo de comandos (llamado burlonamente “Chingchong.cmd”) bajo cifrado RC4 y han codificado con XOR todas las cadenas de texto legibles (strings) para evadir las firmas de los antivirus tradicionales.
Recomendación para Buscadores de Empleo
Si estás buscando trabajo remoto:
- Desconfía de los ZIPs: Un reclutador legítimo nunca te pedirá que descargues un archivo ZIP, RAR o un ejecutable (.exe, .scr) para completar un formulario o prueba.
- Plataformas Oficiales: Realiza las pruebas directamente en plataformas de terceros conocidas (como HackerRank o TestGorilla) o a través de formularios web, nunca mediante software descargable desconocido.
