Cum nord-coreenii se infiltrează în lumea cripto: interviuri false, malware și firme fantomă
Atacurile cibernetice orchestrate de hackeri nord-coreeni ating noi niveluri de sofisticare. Cu o strategie ingenioasă și periculoasă, aceștia folosesc companii fantomă și interviuri de angajare false pentru a răspândi malware în industria criptomonedelor. Campania recentă, denumită Contagious Interview, scoate la iveală o combinație alarmantă de inginerie socială, inteligență artificială și tehnici avansate de anonymizare.
Grupul de hackeri a înființat trei companii false, specializate aparent în consultanță pentru criptomonede: BlockNovas LLC, Angeloper Agency și SoftGlide LLC. Scopul acestora nu este deloc comercial, ci strict infracțional: răspândirea malware-ului prin așa-zise procese de recrutare.
Odată ce un candidat răspunde unei oferte de muncă, este invitat la un interviu video, unde i se solicită să descarce un presupus fișier necesar pentru evaluarea competențelor tehnice. În realitate, fișierul conține malware-uri sofisticate precum BeaverTail, InvisibleFerret și OtterCookie. Aceste programe rău intenționate sunt capabile să fure informații sensibile, să deschidă shell-uri reversibile și să instaleze aplicații de control de la distanță, cum este AnyDesk.
În paralel, hackerii folosesc conturi false pe rețele sociale precum LinkedIn, GitHub și Medium pentru a crea o aparență de autenticitate în jurul firmelor lor fictive. Mai mult, infrastructura folosită include servere externe și dashboard-uri secrete pentru monitorizarea operațiunilor malware, totul camuflat sub domenii aparent legitime.
De la crypto la inteligență artificială: metodele avansate care sprijină atacurile nord-coreene
Într-o evoluție semnificativă față de campaniile anterioare, hackerii folosesc acum inteligența artificială pentru a optimiza fiecare etapă a procesului de înșelătorie. Cu ajutorul unor instrumente GenAI, reușesc să creeze poze de profil credibile pentru conturile false și să automatizeze programările interviurilor. De asemenea, folosesc traduceri în timp real pentru a păcăli recrutorii internaționali și a menține conversații fluente în mai multe limbi.
În spatele acestei mascarade, atacatorii nord-coreeni operează din locații precum China, Rusia și Pakistan, folosind straturi complexe de anonimizare – VPN-uri comerciale, servere proxy și VPS-uri cu acces RDP. Datele de telemetrie arată că o parte semnificativă din infrastructura lor de anonimizare este găzduită în Rusia, sugerând o posibilă cooperare între entități din Rusia și Coreea de Nord.
Un alt detaliu șocant este utilizarea platformei Hashtopolis, găzduită pe subdomeniile BlockNovas, pentru gestionarea atacurilor de tip cracking de parole. Această rețea complexă de instrumente și tactici confirmă amploarea operațiunii și seriozitatea amenințării.
De ce aceste atacuri sunt o dublă amenințare: furt de date și finanțare clandestină pentru regimul de la Phenian
Atacurile nu se limitează doar la compromiterea dispozitivelor personale sau furtul de criptomonede. Ele fac parte dintr-o strategie mai amplă, care include infiltrarea IT-știlor nord-coreeni în companii globale prin crearea de identități false. Inițiativa Wagemole vizează angajarea de cetățeni nord-coreeni sub identități false pentru a lucra de la distanță în firme occidentale, unde o parte din salariile lor este apoi direcționată către regimul din Phenian.
Această metodă dublă servește atât scopuri economice, cât și de spionaj, permițând regimului să acceseze date sensibile și să obțină venituri suplimentare. Cu ajutorul noilor tehnologii bazate pe inteligență artificială, aceste rețele subterane devin din ce în ce mai greu de detectat, ceea ce complică și mai mult eforturile internaționale de combatere a acestui tip de criminalitate cibernetică.
Între timp, autoritățile încearcă să țină pasul. Până în prezent, FBI a reușit să sechestreze domeniul BlockNovas, într-o acțiune menită să dezmembreze măcar o parte din infrastructura frauduloasă. Cu toate acestea, amenințarea rămâne majoră, iar noi campanii de tip Contagious Interview sau ClickFake Interview sunt de așteptat să apară.
Într-o lume unde inteligența artificială și criptomonedele sunt la ordinea zilei, trebuie să fii extrem de vigilent atunci când aplici la joburi online sau când ești invitat să participi la interviuri video suspecte. Verifică întotdeauna autenticitatea companiilor și nu descărca fișiere nesolicitate, chiar dacă par să vină de la surse legitime.
