Los actores de amenaza vinculados a Corea del Norte asociados con la campaña de entrevistas contagiosas se han atribuido a una puerta trasera previamente indocumentada llamada Akdoortea, junto con herramientas como Tsunamikit y Tropidoor.
La firma de ciberseguridad eslovacia Eset, que está rastreando la actividad bajo el nombre de DeceptivedErarrelo, dijo que la campaña se dirige a los desarrolladores de software en todos los sistemas operativos, Windows, Linux y MacOS, particularmente aquellos involucrados en proyectos de criptomonedas y Web3. También se conoce como Dev#Popper, famosa Chollima, Gwisin Gang, Tenacious Pungsan, UNC5342 y Void Dokkaebi.
«El conjunto de herramientas de DecepedEvelopment es principalmente multiplataforma y consta de scripts maliciosos ofuscos iniciales en Python y JavaScript, Back Stores en Python and Go, y un proyecto web oscuro en .net», los investigadores de ESET Peter Kálnai y Matěj Havránek dicho En un informe compartido con The Hacker News.
La campaña involucra esencialmente a los reclutadores personificados que ofrecen lo que parecen ser roles de trabajo lucrativos sobre plataformas como LinkedIn, Upwork, Freelancer y Crypto Jobs List. Después de la divulgación inicial, si el posible objetivo expresa interés en la oportunidad, se les pide que completen una evaluación de video haciendo clic en un enlace o un ejercicio de codificación.
La tarea de programación requiere que proyectos de clonos Alojado en GitHub, que instala silenciosamente malware. Por otro lado, los sitios web se configuran explícitamente para realizar la llamada evaluación de video que muestra errores inexistentes relacionados con el bloqueo de la cámara o el micrófono que se bloquean, e insta a seguirlos a seguir Instrucciones de estilo ClickFix Para rectificar el problema iniciando el símbolo del sistema o la aplicación Terminal, dependiendo del sistema operativo utilizado.
Independientemente del método empleado, se ha encontrado que los ataques entregan varias piezas de malware, como Beavertail, invisibleferret, Ottercookie, Golangghost (también conocido como FlexibleFerret o WeaselStore), y Pylangghost.
«La funcionalidad de WeaselStore es bastante similar tanto a Beaverail como a Invisibleferret, con el enfoque principal que se exfiltración de datos confidenciales de navegadores y billeteras de criptomonedas», dijo Eset. «Una vez que los datos han sido exfiltrados, WeaselStore, a diferencia de los infantes de infantes tradicionales, continúa comunicándose con su C&C [command-and-control] servidor, que sirve como una rata capaz de ejecutar varios comandos «.
También se implementan como parte de estas secuencias de infección son Tsunamikit y Tropidoel primero de los cuales es un conjunto de herramientas de malware entregado por InvisibleFerret y está diseñado para información y robo de criptomonedas. El uso de Tsunamikit se descubrió por primera vez en noviembre de 2024.
El conjunto de herramientas comprende varios componentes, el punto de partida es la etapa inicial Tsunamiloader que desencadena la ejecución de un inyector (tsunamiinjector), que, a su vez, deja caer Tsunamiinstaller y Tsunamihardener.
Mientras que TsunamiInstaller actúa como un gotero para TsunamicLientinstaller, que luego descarga y ejecuta Tsunamiclient, Tsunamihardener es responsable de configurar la persistencia para TsunamicLient, así como configurar las exclusiones de defensa de Microsoft. TsunamicLient es el módulo central que incorpora un spyware .NET y deja caer mineros de criptomonedas como XMRIG y NBMiner.
Se cree que Tsunamikit es probablemente una modificación de un proyecto web oscuro en lugar de una creación nativa del actor de amenaza, dado que las muestras relacionadas con el juego de herramientas se han descubierto que data de diciembre de 2021, anterior a la aparición de la entrevista contagiosa, que se cree que comenzó a fines de 2022.
También se ha descubierto que el robador y descargador de Beaverail actúa como un vehículo de distribución para otro malware conocido como Tropidoor que, según ASEC, se superpone con una herramienta de grupo Lázaro llamada Sin luz. Eset dijo que encontró evidencia de artefactos de Tropidoor cargados en Virustotal desde Kenia, Colombia y Canadá, y agregó que el malware también comparte «grandes porciones de código» con Postnapteaun malware utilizado por el actor de amenaza contra los objetivos de Corea del Sur en 2022.
Postnaptea admite comandos para actualizaciones de configuración, manipulación de archivos y captura de pantalla, administración de sistemas de archivos, administración de procesos y ejecución de versiones personalizadas de comandos de Windows como Whoami, NetStat, Tracert, Lookup, IPConfig y SystemInfo, entre otros, para mejorar el sigilo, una característica también presente en LightlessCan.
«Tropidoor es la carga útil más sofisticada hasta ahora vinculada al grupo de desarrollo engañado, probablemente porque se basa en malware desarrollado por los actores de amenaza más avanzados técnicamente bajo el paraguas de Lazarus», dijo Eset.
 |
| Cadena de ejecución de Weaselstore |
La última incorporación al Arsenal del actor de amenaza es un troyano de acceso remoto denominado Akdoortea que se entrega mediante un script por lotes de Windows. El script descarga un archivo zip («nvidiareLease.zip») y ejecuta un script de Visual Basic presente en él, que luego procede a lanzar cargas útiles de Beaverail y Akdoortea también contenidas en el archivo.
Vale la pena señalar que la campaña ha aprovechado las actualizaciones de conductores con temática de Nvidia en el pasado como parte de Ataques de clickfix a abordar supuestos problemas de cámara o micrófono Al proporcionar las evaluaciones de video, lo que indica que este enfoque se está utilizando para propagar Akdoortea.
Akdoortea obtiene su nombre del hecho de que comparte puntos en común con Akdoorque es descrito como variante de la nukesped (también conocido como Manuscrypt) implante: reforzar aún más las conexiones de la entrevista contagiosa con los más grandes Paraguas del grupo Lazarus.
«Los TTP de Elegro Deceptived ilustran un modelo más distribuido e impulsado por el volumen de sus operaciones. A pesar de que a menudo carece de sofisticación técnica, el grupo compensa a través de la escala y la ingeniería social creativa», dijo Eset.
«Sus campañas demuestran un enfoque pragmático, explotando herramientas de código abierto, reutilizando proyectos web oscuros disponibles, adaptando malware probablemente alquilado de otros grupos alineados por Corea del Norte y aprovechando las vulnerabilidades humanas a través de ofertas de trabajo falsas y plataformas de entrevistas».
La entrevista contagiosa no funciona en silo, ya que también se ha encontrado que comparte cierto nivel de superposiciones con el fraudulento de Pyongyang Esquema de trabajadores de TI (también conocido como Wagemole), con Zscaler señalando que la inteligencia recogido del primero es utilizado por actores norcoreanos para asegurar empleos en aquellas compañías que usan Identidades robadas y fabricantes de personas sintéticas. Se cree que la amenaza de los trabajadores de TI fue en curso desde 2017.
 |
| Conexión entre la entrevista contagiosa y Wagemole |
Compañía de ciberseguridad Trellix, en un informe Publicado esta semana, dijo que descubrió una instancia de un fraude de empleo de trabajadores de TI de Corea del Norte dirigido a una empresa de salud de los Estados Unidos, donde una persona que usa el nombre «Kyle Lankford» solicitó un puesto de ingeniero de software principal.
Si bien el solicitante de empleo no planteó ninguna bandera roja durante las primeras etapas del proceso de contratación, Trellix dijo que pudo correlacionar sus direcciones de correo electrónico con los conocidos indicadores de trabajadores de Corea del Norte. El análisis posterior de los intercambios de correo electrónico y las verificaciones de antecedentes identificaron al candidato como un probable operativo norcoreano, agregó.
«Las actividades de los trabajadores de TI de Corea del Norte constituyen una amenaza híbrida», señaló Eset. «Este esquema de fraude por alquiler combina operaciones criminales clásicas, como el robo de identidad y el fraude de identidad sintética, con herramientas digitales, que lo clasifican como un crimen tradicional y un delito cibernético (o delitos electrónicos)».
Fuente