Aktor ancaman terkait Korea Utara di balik wawancara menular telah mendirikan perusahaan depan sebagai cara untuk mendistribusikan malware selama proses perekrutan palsu.
“Dalam kampanye baru ini, kelompok aktor ancaman menggunakan tiga perusahaan depan di industri konsultasi cryptocurrency – Blocknovas LLC (Blocknovas[.] com), agen Angeloper (Angeloper[.]com), dan softglide llc (softglide[.]CO) —untuk menyebarkan malware melalui 'umpan wawancara kerja, “kata Silent Push dalam analisis penyelaman yang dalam.
Kegiatan tersebut, kata perusahaan cybersecurity, digunakan untuk mendistribusikan tiga keluarga malware yang diketahui, Beavertail, Invisibleferret, dan Ottercookie.
Wawancara menular adalah salah satu dari beberapa kampanye rekayasa sosial bertema pekerjaan yang diatur oleh Korea Utara untuk menarik target untuk mengunduh malware lintas platform dengan dalih penugasan pengkodean atau memperbaiki masalah dengan browser mereka saat menyalakan kamera selama penilaian video.
Kegiatan ini dilacak oleh komunitas cybersecurity yang lebih luas di bawah moniker CL-STA-0240, pengembangan yang penuh kecelakaan, Dev#Popper, Chollima yang terkenal, UNC5342, dan void Dokkaebi.
Penggunaan perusahaan depan untuk propagasi malware, dilengkapi dengan menyiapkan akun penipuan di Facebook, LinkedIn, Pinterest, X, Medium, Github, dan Gitlab, menandai eskalasi baru untuk para aktor ancaman, yang telah diamati menggunakan berbagai papan pekerjaan untuk memikat para korban.
“Perusahaan Front Blocknovas memiliki 14 orang yang diduga bekerja untuk mereka, namun banyak kepribadian karyawan […] tampaknya palsu, “kata dorongan diam.” Saat melihat halaman 'tentang kita' dari blocknovas[.]com via The Wayback Machine, grup mengklaim telah beroperasi selama '12+ tahun ' – yang 11 tahun lebih lama dari yang telah didaftarkan oleh bisnis. “
Serangan menyebabkan penyebaran pencuri JavaScript dan loader yang disebut Beavertail, yang kemudian digunakan untuk menjatuhkan pintu belakang ular python yang disebut sebagai Invisibleferret yang dapat membangun persistensi pada Windows, Linux, dan host macOS. Rantai infeksi terpilih juga telah ditemukan untuk melayani malware lain dengan nama Ottercookie melalui payload JavaScript yang sama yang digunakan untuk meluncurkan Beavertail.
Blocknovas telah diamati menggunakan penilaian video untuk mendistribusikan frostyferret dan golangghost menggunakan umpan terkait clickfix, sebuah taktik yang dirinci awal bulan ini oleh Sekoia, yang melacak aktivitas dengan nama wawancara Clickfake.
Beavertail dikonfigurasi untuk menghubungi server eksternal (“lianxinxiao[.]com “) untuk perintah-dan-kontrol (C2) untuk melayani InvisibleFerret sebagai muatan tindak lanjut. Diterima dengan berbagai fitur untuk memanen informasi sistem, meluncurkan shell terbalik, mengunduh modul tambahan untuk mencuri data browser, file, dan memulai pemasangan perangkat lunak Access Remote Access anyDesk.
Analisis lebih lanjut dari infrastruktur jahat telah mengungkapkan adanya “dasbor status” yang di -host di salah satu subdomain Blocknovas untuk mempertahankan visibilitas menjadi empat domain mereka: lianxinxiao[.]com, Angeloperonline[.]online, dan softglide[.]bersama.
Subdomain terpisah, mail.blocknovas[.]COM Domain, juga telah ditemukan menjadi tuan rumah sistem manajemen retak kata sandi open-source, terdistribusi yang disebut Hashtopolis. Drive perekrutan palsu telah menyebabkan setidaknya satu pengembang mendapatkan dompet Metamask mereka diduga dikompromikan pada bulan September 2024.
Bukan itu saja. Aktor ancaman juga tampaknya menjadi tuan rumah alat bernama Kryptoneer di domain atisscmo[.]com yang menawarkan kemampuan untuk terhubung ke dompet cryptocurrency seperti dompet suiet, dompet etos, dan dompet sui.
“Mungkin saja aktor ancaman Korea Utara telah melakukan upaya tambahan untuk menargetkan blockchain SUI, atau domain ini dapat digunakan dalam proses aplikasi pekerjaan sebagai contoh dari 'proyek crypto' yang sedang dikerjakan,” kata Silent Push.
Blocknovas, menurut laporan independen yang diterbitkan oleh Trend Micro, juga diiklankan pada Desember 2024 posisi terbuka untuk insinyur perangkat lunak senior di LinkedIn, khususnya menargetkan para profesional TI Ukraina.
Pada tanggal 23 April 2025, domain Blocknovas telah disita oleh Biro Investigasi Federal AS (FBI) sebagai bagian dari tindakan penegakan hukum terhadap aktor cyber Korea Utara karena menggunakannya untuk “menipu individu dengan posting pekerjaan palsu dan mendistribusikan malware.”
Selain menggunakan layanan seperti Astrill VPN dan proksi perumahan untuk mengaburkan infrastruktur dan kegiatan mereka, aspek penting dari aktivitas jahat adalah penggunaan alat-alat yang didukung oleh kecerdasan buatan (AI) seperti Remaker untuk membuat gambar profil.
Perusahaan keamanan siber, dalam analisis kampanye wawancara yang menular, mengatakan pihaknya mengidentifikasi lima rentang IP Rusia yang telah digunakan untuk melakukan operasi. Alamat IP ini dikaburkan oleh lapisan VPN, lapisan proxy, atau lapisan RDP.
“Rentang alamat IP Rusia, yang disembunyikan oleh jaringan anonimisasi besar yang menggunakan layanan VPN komersial, server proxy, dan banyak server VPS dengan RDP, ditugaskan ke dua perusahaan di Khasan dan Khabarovsk,” kata peneliti keamanan Feike Hacquebord dan Stephen Hilt.
“Khasan berjarak satu mil dari perbatasan Korea-Rusia Utara, dan Khabarovsk dikenal karena hubungan ekonomi dan budayanya dengan Korea Utara.”
Jika wawancara menular adalah salah satu sisi dari koin, yang lain adalah ancaman pekerja TI yang curang yang dikenal sebagai Wagemole, yang mengacu pada taktik yang melibatkan kerajinan persona palsu menggunakan AI untuk membuat pekerja TI mereka disewa dari jarak jauh sebagai karyawan di perusahaan besar.
Upaya -upaya ini memiliki motivasi ganda, dirancang untuk mencuri data sensitif dan mengejar keuntungan finansial dengan menyalurkan sebagian gaji bulanan kembali ke Republik Rakyat Demokratik Korea (DPRK).
“Fasilitator sekarang menggunakan alat yang berbasis di Genai untuk mengoptimalkan setiap langkah dalam proses penerapan dan wawancara untuk peran dan membantu warga negara DPRK yang berusaha mempertahankan pekerjaan ini,” kata Okta.
“Layanan yang ditingkatkan Genai ini diperlukan untuk mengelola penjadwalan wawancara kerja dengan beberapa kandidat dprk persona oleh kader kecil fasilitator. Layanan ini menggunakan Genai dalam segala hal mulai dari alat yang menyalin atau merangkum percakapan, hingga terjemahan suara dan teks waktu nyata.”
Data telemetri yang dikumpulkan oleh tren poin mikro ke aktor ancaman yang selaras dengan Pyongyang yang bekerja dari Cina, Rusia, dan Pakistan, sambil menggunakan rentang IP Rusia untuk terhubung ke lusinan server VPS melalui RDP dan kemudian melakukan tugas seperti berinteraksi di lokasi perekrutan pekerjaan dan mengakses layanan terkait cryptocurasi.
“Mengingat bahwa sebagian besar dari lapisan yang lebih dalam dari jaringan anonimisasi aktor Korea Utara adalah di Rusia, itu masuk akal, dengan kepercayaan diri rendah hingga menengah, bahwa beberapa bentuk kerja sama yang disengaja atau pembagian infrastruktur ada antara entitas Korea Utara dan Rusia,” kata perusahaan itu.
