Aktor ancaman terkait Korea Utara yang dikenal sebagai Sapphire Sleet diperkirakan telah mencuri mata uang kripto senilai lebih dari $10 juta sebagai bagian dari kampanye rekayasa sosial yang diatur selama periode enam bulan.
Temuan ini berasal dari Microsoft, yang mengatakan bahwa beberapa kelompok aktivitas ancaman yang memiliki hubungan dengan negara tersebut telah diamati membuat profil palsu di LinkedIn, menyamar sebagai perekrut dan pencari kerja untuk menghasilkan pendapatan gelap bagi negara yang terkena sanksi tersebut.
Sapphire Sleet, yang diketahui aktif setidaknya sejak tahun 2020, tumpang tindih dengan kelompok peretas yang dilacak sebagai APT38 dan BlueNoroff. Pada bulan November 2023, raksasa teknologi ini mengungkapkan bahwa pelaku ancaman telah membangun infrastruktur yang menyamar sebagai portal penilaian keterampilan untuk melaksanakan kampanye rekayasa sosialnya.
Salah satu metode utama yang diadopsi oleh kelompok ini selama lebih dari setahun adalah dengan menyamar sebagai pemodal ventura, dengan menipu mengklaim ketertarikan pada perusahaan pengguna target untuk mengadakan pertemuan online. Target yang terpikat oleh umpan dan mencoba terhubung ke rapat akan diperlihatkan pesan kesalahan yang mendesak mereka untuk menghubungi administrator ruangan atau tim dukungan untuk mendapatkan bantuan.
Jika korban menghubungi pelaku ancaman, mereka akan dikirimi file AppleScript (.scpt) atau file Visual Basic Script (.vbs) tergantung pada sistem operasi yang digunakan untuk menyelesaikan masalah koneksi yang seharusnya.
Di balik terpalnya, skrip tersebut digunakan untuk mengunduh malware ke mesin Mac atau Windows yang disusupi, yang pada akhirnya memungkinkan penyerang mendapatkan kredensial dan dompet mata uang kripto untuk pencurian berikutnya.
Sapphire Sleet telah diidentifikasi menyamar sebagai perekrut perusahaan keuangan seperti Goldman Sachs di LinkedIn untuk menjangkau calon target dan meminta mereka menyelesaikan penilaian keterampilan yang diselenggarakan di situs web yang mereka kendalikan.
“Pelaku ancaman mengirimkan akun masuk dan kata sandi kepada pengguna target,” kata Microsoft. “Saat masuk ke situs web dan mengunduh kode yang terkait dengan penilaian keterampilan, pengguna target mengunduh malware ke perangkat mereka, sehingga memungkinkan penyerang mendapatkan akses ke sistem.”
Redmond juga menggambarkan pengiriman ribuan pekerja TI ke luar negeri oleh Korea Utara sebagai ancaman rangkap tiga yang menghasilkan uang bagi rezim melalui pekerjaan yang “sah”, memungkinkan mereka menyalahgunakan akses mereka untuk mendapatkan kekayaan intelektual, dan memfasilitasi pencurian data dengan imbalan pencurian data. tebusan.
“Karena sulit bagi seseorang di Korea Utara untuk mendaftar hal-hal seperti rekening bank atau nomor telepon, para pekerja TI harus memanfaatkan fasilitator untuk membantu mereka mendapatkan akses ke platform di mana mereka dapat melamar pekerjaan jarak jauh,” katanya. “Fasilitator ini digunakan oleh pekerja TI untuk tugas-tugas seperti membuat akun di situs pekerjaan lepas.”
Hal ini termasuk membuat profil dan portofolio palsu di platform pengembang seperti GitHub dan LinkedIn untuk berkomunikasi dengan perekrut dan melamar pekerjaan.
Dalam beberapa kasus, mereka juga ditemukan menggunakan alat kecerdasan buatan (AI) seperti Faceswap untuk memodifikasi foto dan dokumen yang dicuri dari korban atau menampilkannya dengan latar belakang yang terlihat profesional. Gambar-gambar ini kemudian digunakan pada resume atau profil, terkadang untuk beberapa persona, yang dikirimkan untuk lamaran pekerjaan.
“Selain menggunakan AI untuk membantu pembuatan gambar yang digunakan dalam lamaran pekerjaan, pekerja TI Korea Utara juga bereksperimen dengan teknologi AI lainnya seperti perangkat lunak pengubah suara,” kata Microsoft.
“Para pekerja TI Korea Utara tampaknya sangat terorganisir dalam melacak pembayaran yang diterima. Secara keseluruhan, kelompok pekerja TI Korea Utara ini tampaknya telah menghasilkan setidaknya 370.000 dolar AS melalui upaya mereka.”