Attori delle minacce legate alla Corea del Nord dietro il Intervista contagiosa hanno impostato le aziende frontali come un modo per distribuire malware durante il processo di assunzione falso.
“In questa nuova campagna, il gruppo di attori di minaccia sta utilizzando tre aziende frontali nel settore della consulenza di criptovaluta – Blocknovas LLC (Blocknovas (.) Com), Angeloper Company (Angeloper (.) Com) e Softglide LLC (Softglide (.) CO) – per diffondere malware tramite ‘escursioni di intervista di lavoro,” Silent Push Push Push Push, silenzioso spinta silenzi disse In un’analisi a immersione in profondità.
L’attività, ha affermato la società di sicurezza informatica, viene utilizzata per distribuire tre numerous famiglie di malware conosciute, Beavertail, InvisibleFerretE Ottercookie.
L’intervista contagiosa è una delle numerose campagne di ingegneria sociale a tema del lavoro orchestrate dalla Corea del Nord per attirare gli obiettivi a scaricare malware multipiattaforma sotto il pretesto del compito di codifica o risolvere un problema con il loro browser quando si accende la telecamera durante una valutazione video.
L’attività è monitorata dalla più ampia comunità di sicurezza informatica sotto i moniker CL-STA-0240, DeceptededEvelopment, Dev#Popper, Well-known Chollima, UNC5342 e Void Dokkaebi.
L’uso di aziende frontali per la propagazione del malware, integrato dalla creazione di account fraudolenti su Fb, LinkedIn, Pinterest, X, Medium, GitHub e Gitlab, segna una nuova escalation per gli attori delle minacce, che sono stati osservati usando vari commissioni di lavoro per attirare le vittime.
“La compagnia Entrance Blocknovas ha 14 persone che presumibilmente lavorano per loro, tuttavia molte persone dei dipendenti (…) sembrano false”, ha detto Silent Push. “Quando si visualizza la pagina” About Us “di Blocknovas (.) Com tramite Wayback Machine, il gruppo ha affermato di aver operato per ’12+ anni ‘ – che è più lungo di quanto l’azienda sia stata registrata.”
Gli attacchi portano allo spiegamento di un furto e caricatore JavaScript chiamato Beavertail, che viene quindi utilizzato per far cadere una backdoor Python denominata invisibile che può stabilire la persistenza su Home windows, Linux e Host MacOS. È stato anche scoperto che le catene di infezione selezionate servono un altro Malware in codice Ottercookie tramite lo stesso payload JavaScript utilizzato per avviare Beavertail.
Blocknovas è stato osservato utilizzando le valutazioni video per distribuire Frostyferret e Golangghost Utilizzando le esche legate a ClickFix, una tattica che è stata dettagliata all’inizio di questo mese da Sekoia, che sta monitorando l’attività con l’intervista di ClickFake.
Beavertail è configurato per contattare un server esterno (“lianxinxiao (.) Com”) per comandi e controllo (C2) per servire invisibleFerret come payload di follow-up. Viene fornito con varie funzionalità per raccogliere informazioni sul sistema, avviare una shell inversa, scaricare moduli aggiuntivi per rubare dati del browser, file e avviare l’installazione del software program di accesso remoto AnyDesk.
Ulteriori analisi dell’infrastruttura dannosa hanno rivelato la presenza di un “dashboard di stato” ospitato su uno dei sottodomini di Blocknovas per mantenere la visibilità in quattro dei loro domini: lianxinxiao (.) Com, Angeloperonline (.) On-line e Softglide (.) CO.
È stato anche scoperto che un sottodomin HashtoPolis. IL USTRI DI RECRUZIONE FINE hanno portato advert almeno uno sviluppatore a ottenere il loro portafoglio metamask Presumibilmente compromesso nel settembre 2024.
Non è tutto. Gli attori delle minacce sembrano anche ospitare uno strumento di nome Kryptoneer nel dominio Attisscmo (.) Com che offre la possibilità di connettersi a portafogli di criptovaluta come portafoglio suiet, portafoglio ethos e portafoglio SUI.
“È possibile che gli attori della minaccia nordcoreana abbiano compiuto ulteriori sforzi per colpire la blockchain SUI, oppure questo dominio possa essere utilizzato all’interno dei processi di domanda di lavoro come esempio del” progetto crittografico “in cui si sta lavorando”, ha detto Silent Push.
Blocknovas, secondo un rapporto indipendente pubblicato da Pattern Micro, pubblicizzato anche nel dicembre 2024 una posizione aperta per un ingegnere di software program senior su LinkedIn, che mira in particolare ai professionisti IT ucraini.
A partire dal 23 aprile 2025, il dominio Blocknovas è stato sequestrato dal Federal Bureau of Investigation (FBI) degli Stati Uniti come parte di un’azione delle forze dell’ordine contro gli attori informatici del Nord Corea per averlo usato per “ingannare le persone con false offerte di lavoro e distribuire malware”.
Oltre a utilizzare servizi come Astrill VPN E i procuratori residenziali per offuscare le loro infrastrutture e le loro attività, un aspetto degno di nota dell’attività dannosa è l’uso di strumenti potenti sull’intelligenza artificiale (AI) come il remaker per creare immagini di profilo.
La società di sicurezza informatica, nella sua analisi della campagna di intervista contagiosa, ha affermato di aver identificato cinque gamme IP russe che sono state utilizzate per eseguire l’operazione. Questi indirizzi IP sono oscurati da un livello VPN, un livello proxy o un livello RDP.
“Gli intervalli di indirizzo IP russo, che sono nascosti da una grande rete di anonimi che utilizzano servizi VPN commerciali, server proxy e numerosi server VPS con RDP, sono assegnati a due società di Khasan e Khabarovsk,” I ricercatori della sicurezza Feike Hacquebord e Stephen Hilt Hilt Hilthen Hilt Hilthen Hilthen Hilt Hilthen Hilt Hilthen Hilthen Hilt Hilthen Hilt Hilthen Hilthen Hilt Hilthen Hilthen HiltHilt Hilthen Hilthen Hilthen Hilthen Hilt Hilthen HiltHilt Hilthen Hilthen Hilthen HiltHilt Hilthen Hilthen Hilthen Hilts Hilthen Hiltil Hilthen Hilthen disse.
“Khasan è a un miglio dal confine tra Corea del Nord-Russia e Khabarovsk è noto per i suoi legami economici e culturali con la Corea del Nord.”
Se l’intervista contagiosa è un lato della moneta, l’altro è la minaccia fraudolenta dei lavoratori IT noto come Wagemoleche si riferisce a una tattica che prevede la creazione di persone false che usano l’IA per ottenere i loro lavoratori IT assunti in remoto come dipendenti delle principali aziende.
Questi sforzi hanno doppie motivazioni, progettate per rubare dati sensibili e perseguire un guadagno finanziario incanalando una parte degli stipendi mensili alla Repubblica popolare democratica di Corea (DPRK).
“I facilitatori stanno ora utilizzando strumenti basati su Genai per ottimizzare ogni passo nel processo di applicazione e intervista per ruoli e per aiutare i cittadini della DPRK nel tentativo di mantenere questo impiego”, Okta disse.
“Questi servizi potenziati da Genai sono tenuti a gestire la programmazione di interviste di lavoro con più personaggi candidati a DPRK da parte di un piccolo gruppo di facilitatori. Questi servizi utilizzano Genai in tutto, dagli strumenti che trascrivono o sintetizzano le conversazioni, alla traduzione in tempo reale di voce e testo.”
I dati di telemetria raccolti da Micro Factors di tendenza agli attori delle minacce allineati a Pyongyang che lavorano dalla Cina, dalla Russia e dal Pakistan, mentre utilizzano le gamme IP russe per connettersi a dozzine di server VPS su RDP e quindi svolgere attività come interagire sui siti di assunzione di lavoro e accedere ai servizi relativi alle criptovalute.
“Dato che una parte significativa degli strati più profondi della rete di anonimizzazione degli attori della Corea del Nord è in Russia, è plausibile, con bassa a media fiducia, che esiste una qualche forma di cooperazione intenzionale o condivisione delle infrastrutture tra le entità della Corea del Nord e la russa”, ha affermato la società.
