De informatietechnologie (IT)-medewerkers die verbonden zijn aan de Democratische Volksrepubliek Korea (DPRK) solliciteren nu op afgelegen posities met behulp van echte LinkedIn-accounts van personen die zij nabootsen, wat een nieuwe escalatie van het frauduleuze plan markeert.
“Deze profielen hebben vaak geverifieerde e-mails op de werkplek en identiteitsbadges, waarvan Noord-Koreaanse agenten hopen dat hun frauduleuze aanvragen legitiem zullen lijken”, aldus Security Alliance (SEAL) in een reeks berichten op X.
De bedreiging voor IT-werkers is een langlopende operatie van Noord-Korea, waarbij agenten uit het land zich voordoen als externe werknemers om banen veilig te stellen in westerse bedrijven en elders onder gestolen of verzonnen identiteiten. De dreiging wordt ook gevolgd door de bredere cybersecuritygemeenschap zoals Jasper Sleet, PurpleDelta en Wagemole.
Het uiteindelijke doel van deze inspanningen is tweeledig: het genereren van een gestage inkomstenstroom om de wapenprogramma’s van het land te financieren, het uitvoeren van spionage door gevoelige gegevens te stelen en, in sommige gevallen, een stap verder te gaan door losgeld te eisen om te voorkomen dat de informatie lekt.
Vorige maand beschreef cyberbeveiligingsbedrijf Silent Push het programma voor thuiswerkers in de DVK als een ‘motor voor grote inkomsten’ voor het regime, waardoor de dreigingsactoren ook administratieve toegang kunnen krijgen tot gevoelige codebases en een voortzetting van het leven buiten het land binnen de bedrijfsinfrastructuur tot stand kunnen brengen.
“Zodra hun salarissen zijn betaald, dragen IT-medewerkers uit de DVK cryptocurrency over via een verscheidenheid aan verschillende witwastechnieken”, merkte blockchain-analysebedrijf Chainalysis op in een rapport dat in oktober 2025 werd gepubliceerd.
“Een van de manieren waarop IT-medewerkers, evenals hun collega’s die geld witwassen, de link tussen bron en bestemming van fondsen in de keten verbreken, is door middel van chain-hopping en/of token swapping. Ze maken gebruik van slimme contracten zoals gedecentraliseerde uitwisselingen en overbruggingsprotocollen om het traceren van fondsen te bemoeilijken.”
Om de dreiging tegen te gaan, wordt personen die vermoeden dat hun identiteit wordt misbruikt bij frauduleuze sollicitaties geadviseerd om te overwegen een waarschuwing op hun sociale media-accounts te plaatsen, samen met het vermelden van hun officiële communicatiekanalen en de verificatiemethode om contact met hen op te nemen (bijvoorbeeld het e-mailadres van het bedrijf).
“Controleer altijd of de accounts die door kandidaten worden vermeld, worden beheerd door het e-mailadres dat ze opgeven”, aldus Security Alliance. “Eenvoudige controles, zoals hen vragen om met u in contact te komen op LinkedIn, zullen hun eigendom en controle over het account verifiëren.”
De onthulling komt op het moment dat de Noorse politie-veiligheidsdienst (PST) een advies uitbracht, waarin zij verklaarde op de hoogte te zijn van “verschillende gevallen” in het afgelopen jaar waarin Noorse bedrijven getroffen zijn door regelingen voor IT-werknemers.
“De bedrijven zijn misleid om Noord-Koreaanse IT-medewerkers in dienst te nemen in thuiskantoren”, zei PST vorige week. “Het salarisinkomen dat Noord-Koreaanse werknemers via dergelijke posities ontvangen, gaat waarschijnlijk naar de financiering van het wapen- en kernwapenprogramma van het land.”
Parallel aan het IT-werknemersprogramma loopt een andere social engineering-campagne genaamd Contagious Interview, waarbij nep-wervingsstromen worden gebruikt om potentiële doelwitten naar sollicitatiegesprekken te lokken nadat ze op LinkedIn zijn benaderd met vacatures. De kwaadaardige fase van de aanval begint wanneer individuen die zichzelf presenteren als recruiters en rekruteringsmanagers doelwitten de opdracht geven een vaardigheidsbeoordeling uit te voeren die er uiteindelijk toe leidt dat ze kwaadaardige code uitvoeren.
In één geval van een rekruteringsimitatiecampagne gericht op technologiemedewerkers met behulp van een aanwervingsproces dat lijkt op dat van Fireblocks, een infrastructuurbedrijf voor digitale activa, zouden de bedreigingsactoren kandidaten hebben gevraagd een GitHub-repository te klonen en opdrachten uit te voeren om een npm-pakket te installeren om de uitvoering van malware te activeren.
“De campagne maakte ook gebruik van EtherHiding, een nieuwe techniek die slimme blockchain-contracten gebruikt om de command-and-control-infrastructuur te hosten en op te halen, waardoor de kwaadaardige lading beter bestand is tegen verwijderingen”, aldus veiligheidsonderzoeker Ori Hershko. “Deze stappen veroorzaakten de uitvoering van kwaadaardige code die verborgen was in het project. Het uitvoeren van het installatieproces resulteerde in het downloaden en uitvoeren van malware op het systeem van het slachtoffer, waardoor de aanvallers voet aan de grond kregen in de machine van het slachtoffer.”
In de afgelopen maanden zijn nieuwe varianten van de Contagious Interview-campagne waargenomen waarbij kwaadaardige Microsoft VS Code-taakbestanden worden gebruikt om JavaScript-malware uit te voeren, vermomd als weblettertypen, die uiteindelijk leiden tot de inzet van BeaverTail en InvisibleFerret, waardoor aanhoudende toegang en diefstal van cryptocurrency-portefeuilles en browsergegevens mogelijk is, volgens rapporten van Abstract Security en OpenSourceMalware.
Een andere variant van de door Panther gedocumenteerde inbraakset zou het gebruik van kwaadaardige npm-pakketten omvatten om via een lader een modulair JavaScript remote access trojan (RAT)-framework genaamd Koalemos te implementeren. De RAT is ontworpen om een bakenlus binnen te gaan om taken van een externe server op te halen, deze uit te voeren, gecodeerde antwoorden te verzenden en een willekeurig tijdsinterval te slapen voordat ze opnieuw worden herhaald.
Het ondersteunt 12 verschillende commando’s om bestandssysteembewerkingen uit te voeren, bestanden over te dragen, detectie-instructies uit te voeren (bijvoorbeeld whoami) en willekeurige code uit te voeren. De namen van enkele pakketten die aan de activiteit zijn gekoppeld, zijn als volgt:
- env-workflow-test
- sra-test-test
- sra-testen-test
- vg-medaille-digitaal
- vg-ccc-client
- vg-dev-env
“De initiële lader voert DNS-gebaseerde executiepoorten en engagementdatumvalidatie uit voordat de RAT-module als een losstaand proces wordt gedownload en voortgebracht”, aldus beveiligingsonderzoeker Alessandra Rizzo. “Koalemos voert systeemvingerafdrukken uit, brengt gecodeerde command-and-control-communicatie tot stand en biedt volledige mogelijkheden voor externe toegang.”
Labyrint Chollima segmenteert in gespecialiseerde operationele eenheden
De ontwikkeling komt op het moment dat CrowdStrike onthulde dat de productieve Noord-Koreaanse hackploeg, bekend als Labyrinth Chollima, is geëvolueerd in drie afzonderlijke clusters met verschillende doelstellingen en vaardigheden: de kerngroep Labyrinth Chollima, Golden Chollima (ook bekend als AppleJeus, Citrine Sleet en UNC4736), en Pressure Chollima (ook bekend als Jade Sleet, TraderTraitor en UNC4899).
Het is vermeldenswaard dat Labyrinth Chollima, samen met Andariel en BlueNoroff, worden beschouwd als subclusters binnen de Lazarus Group (ook bekend als Diamond Sleet en Hidden Cobra), waarbij BlueNoroff zich opsplitst in TraderTraitor en CryptoCore (ook bekend als Sapphire Sleet), volgens een beoordeling van DTEX.
Ondanks de hernieuwde onafhankelijkheid blijven deze tegenstanders instrumenten en infrastructuur delen, wat duidt op gecentraliseerde coördinatie en toewijzing van middelen binnen het cyberapparaat van de DVK. Golden Chollima richt zich op consistente, kleinschaligere diefstal van cryptocurrency in economisch ontwikkelde regio’s, terwijl Pressure Chollima hoogwaardige overvallen nastreeft met geavanceerde implantaten om organisaties met aanzienlijke digitale activa te onderscheiden.
Aan de andere kant worden de activiteiten van Labyrinth Chollima gemotiveerd door cyberspionage, waarbij gebruik wordt gemaakt van tools zoals de FudModule-rootkit om stealth te bereiken. Dit laatste wordt ook toegeschreven aan Operatie Dream Job, een andere op banen gerichte social engineering-campagne die is ontworpen om malware te leveren voor het verzamelen van inlichtingen.
“Gedeelde infrastructuurelementen en kruisbestuiving van tools geven aan dat deze eenheden een nauwe coördinatie onderhouden”, aldus CrowdStrike. “Alle drie de tegenstanders maken gebruik van opmerkelijk vergelijkbare vaardigheden, waaronder compromissen in de toeleveringsketen, social engineering-campagnes met HR-thema, getrojaniseerde legitieme software en kwaadaardige Node.js- en Python-pakketten.”
