De financieel gemotiveerde dreigingsacteur bekend als Code (AKA Larve-208 en Water Gamayun) is toegeschreven aan een nieuwe campagne die zich richt op Web3-ontwikkelaars om ze te infecteren met informatie-malware voor het stealer.
“Larve-208 heeft zijn tactieken ontwikkeld, met behulp van nep-AI-platforms (bijv. Norlax AI, het nabootsen van TeamPilot) om slachtoffers te lokken met vacatures of portfolio-beoordelingsverzoeken,” zei Swiss Cybersecurity Company Prodaft in een verklaring gedeeld met het Hacker News.
Hoewel de groep een geschiedenis heeft van het inzetten van ransomware, tonen de nieuwste bevindingen een evolutie van zijn tactiek en een diversificatie van de methoden voor het genereren van inkomsten door het gebruik van Stealer -malware om gegevens uit cryptocurrency -portefeuilles te oogsten.
De focus van Encryphub op Web3 -ontwikkelaars is niet willekeurig – deze individuen beheren vaak crypto -portefeuilles, toegang tot slimme contractrepositories of gevoelige testomgevingen. Velen werken als freelancers of werken in meerdere gedecentraliseerde projecten, waardoor ze moeilijker te beschermen zijn met traditionele bedrijfscontroles. Deze gedecentraliseerde, hoogwaardige ontwikkelaarsgemeenschap vormt een ideaal doelwit voor aanvallers die snel geld willen verdienen zonder gecentraliseerde verdedigingen te activeren.
De aanvalsketens brengen in op het richten van potentiële doelen naar misleidende kunstmatige intelligentie (AI) -platforms en hen te misleiden om te klikken op vermeende vergaderlinks binnen deze sites.
Voldoende links naar deze sites worden verzonden naar ontwikkelaars die Web3 en blockchain-gerelateerde inhoud volgen via platforms zoals X en Telegram onder het voorwendsel van een sollicitatiegesprek of portfolio-discussie. De dreigingsacteurs zijn ook gevonden om de vergaderbanden te sturen naar mensen die zijn aangevraagd voor functies die door hen zijn geplaatst op een Web3 -vacature genaamd Remote3.
Wat interessant is, is de aanpak die de aanvallers gebruiken om beveiligingswaarschuwingen te omzeilen uitgegeven door Remote3 op hun site. Aangezien de service werkzoekenden expliciet waarschuwt tegen het downloaden van onbekende videoconferentiesoftware, voeren de aanvallers een eerste gesprek via Google Meet, waarin zij de aanvrager instrueren het interview te hervatten op Norlax ai.
Ongeacht de gebruikte methode, zodra het slachtoffer op de vergaderlink klikt, wordt hen gevraagd om hun e -mailadres en uitnodigingscode in te voeren, waarna ze een nepfoutmelding krijgen over verouderde of ontbrekende audiostuurprogramma’s.
Klik op het bericht leidt tot het downloaden van kwaadaardige software vermomd als een echt Realtek HD Audio Driver, dat PowerShell -opdrachten uitvoert om de wispelturige Stealer op te halen en te implementeren. De informatie verzameld door de Stealer -malware wordt verzonden naar een externe server met codenaam stilleprism.
“De dreigingsacteurs verdelen infostalers zoals Fickle via nep AI -toepassingen, het met succes oogsten van cryptocurrency -portefeuilles, ontwikkelingsreferenties en gevoelige projectgegevens,” zei PRODAFT.
“Deze nieuwste operatie suggereert een verschuiving naar alternatieve strategieën voor het genereren van inkomsten, waaronder de exfiltratie van waardevolle gegevens en referenties voor mogelijke wederverkoop of uitbuiting in illegale markten.”
De ontwikkeling komt als trustwave spiderlabs gedetailleerd een nieuwe ransomware -stam genaamd Kawa4096 Dat “volgt de stijl van de Akira -ransomware -groep en een losgeldnotitieformaat vergelijkbaar met die van Qilin, waarschijnlijk een poging om hun zichtbaarheid en geloofwaardigheid verder te verrijken.”
Kawa4096, die voor het eerst ontstond in juni 2025, zou naar verluidt 11 bedrijven hebben gericht, met het meeste aantal doelen in de Verenigde Staten en Japan. De initiële toegangsvector die bij de aanvallen wordt gebruikt, is niet bekend.
Een opmerkelijk kenmerk van KAWA4096 is het vermogen om bestanden op gedeelde netwerkaandrijving en het gebruik van multithreading te coderen om de operationele efficiëntie te vergroten en het scanning- en coderingsproces te versnellen.
“Na het identificeren van geldige bestanden voegt de ransomware ze toe aan een gedeelde wachtrij,” zeiden beveiligingsonderzoekers Nathaniel Morales en John Basmayor. “Deze wachtrij wordt verwerkt door een pool van werkthreads, elk verantwoordelijk voor het ophalen van bestandspaden en doorgeven aan de coderingsroutine. Een semafoor wordt gebruikt voor synchronisatie tussen threads, waardoor een efficiënte verwerking van de bestandswachtrij wordt gewaarborgd.”
Een andere nieuwe deelnemer aan het ransomware -landschap is Crux, die beweert deel uit te maken van de Blackbyte Group en in het wild is ingezet in drie incidenten gedetecteerd op 4 en 13 juli 2025, per jager.
In een van de incidenten is vastgesteld dat de dreigingsactoren via RDP geldige referenties gebruiken om een voet aan de grond te krijgen in het doelnetwerk. Altijd alle aanvallen is het gebruik van legitieme Windows -tools zoals svchost.exe en bcdedit.exe om kwaadaardige opdrachten te verbergen en de opstartconfiguratie te wijzigen om het systeemherstel te remmen.
“De dreigingsacteur heeft ook duidelijk een voorkeur voor legitieme processen zoals bcdedit.exe en svchost.exe, dus voortdurende monitoring voor verdacht gedrag met behulp van deze processen via eindpuntdetectie en respons (EDR) kan dreigingsacteurs in uw omgeving helpen,” zei Huntress.
