Lazarus Group richt zich op Web3-ontwikkelaars met valse LinkedIn-profielen in Operatie 99

De aan Noord-Korea gelinkte Lazarus Group wordt toegeschreven aan een nieuwe cyberaanvalcampagne genaamd Operatie 99 dat zich richtte op softwareontwikkelaars die op zoek waren naar freelance Web3- en cryptocurrency-werk om malware te leveren.

“De campagne begint met nep-recruiters, die zich voordoen op platforms als LinkedIn en ontwikkelaars lokken met projecttests en coderecensies”, zegt Ryan Sherstobitoff, senior vice-president van Threat Research and Intelligence bij SecurityScorecard, in een nieuw rapport dat vandaag is gepubliceerd.

“Zodra een slachtoffer het aas heeft gegrepen, wordt hem gevraagd een kwaadaardige GitLab-repository te klonen – ogenschijnlijk onschadelijk, maar boordevol rampen. De gekloonde code maakt verbinding met command-and-control (C2)-servers, waardoor malware in de omgeving van het slachtoffer wordt ingebed.”

Slachtoffers van de campagne zijn over de hele wereld geïdentificeerd, met een aanzienlijke concentratie in Italië. Een kleiner aantal getroffen slachtoffers bevindt zich in Argentinië, Brazilië, Egypte, Frankrijk, Duitsland, India, Indonesië, Mexico, Pakistan, de Filippijnen, het VK en de VS.

Het cyberbeveiligingsbedrijf zei dat de campagne, die het op 9 januari 2025 ontdekte, voortbouwt op tactieken met een banenthema die eerder werden waargenomen bij Lazarus-aanvallen, zoals Operation Dream Job (ook bekend als NukeSped), en zich vooral richtte op ontwikkelaars in Web3- en cryptocurrency-velden.

Wat Operation 99 uniek maakt, is dat het ontwikkelaars verleidt met codeerprojecten als onderdeel van een uitgebreid wervingsprogramma waarbij misleidende LinkedIn-profielen worden gemaakt, die vervolgens worden gebruikt om hen naar frauduleuze GitLab-repository’s te leiden.

Valse LinkedIn-profielen

Het einddoel van de aanvallen is het inzetten van gegevensstelende implantaten die in staat zijn broncode, geheimen, cryptocurrency-portemonneesleutels en andere gevoelige gegevens uit ontwikkelomgevingen te extraheren.

Deze omvatten Main5346 en zijn variant Main99, die dient als downloader voor drie extra payloads:

  • Payload99/73 (en de functioneel vergelijkbare Payload5346), die systeemgegevens verzamelt (bijv. bestanden en klembordinhoud), webbrowserprocessen beëindigt, willekeurig uitvoert en een permanente verbinding tot stand brengt met de C2-server
  • Brow99/73, dat gegevens uit webbrowsers steelt om diefstal van inloggegevens te vergemakkelijken
  • MCLIP, dat toetsenbord- en klembordactiviteit in realtime bewaakt en exfiltreert

“Door ontwikkelaarsaccounts in gevaar te brengen, exfiltreren aanvallers niet alleen intellectueel eigendom, maar krijgen ze ook toegang tot cryptocurrency-portefeuilles, waardoor directe financiële diefstal mogelijk wordt”, aldus het bedrijf. “De gerichte diefstal van privé- en geheime sleutels zou kunnen leiden tot miljoenen aan gestolen digitale activa, wat de financiële doelstellingen van de Lazarus Group zou bevorderen.”

De malware-architectuur heeft een modulair ontwerp, is flexibel en kan werken op alle Windows-, macOS- en Linux-besturingssystemen. Het dient ook om de steeds evoluerende en aanpasbare aard van nationale cyberdreigingen te benadrukken.

“Voor Noord-Korea is hacken een levensader die inkomsten genereert”, aldus Sherstobitoff. “De Lazarus Group heeft consequent gestolen cryptovaluta doorgesluisd om de ambities van het regime te voeden, en daarbij duizelingwekkende bedragen vergaard. Nu de Web3- en cryptocurrency-industrie floreert, richt Operatie 99 zich op deze snelgroeiende sectoren.”

Thijs Van der Does