Noord-Koreaanse hackers stelen $10 miljoen met AI-gestuurde oplichting en malware op LinkedIn

De aan Noord-Korea gelinkte bedreigingsacteur, bekend als Sapphire Sleet, heeft naar schatting voor meer dan $10 miljoen aan cryptocurrency gestolen als onderdeel van social engineering-campagnes die over een periode van zes maanden zijn georkestreerd.

Deze bevindingen zijn afkomstig van Microsoft, dat zei dat er meerdere clusters van bedreigingsactiviteiten zijn waargenomen die banden hebben met het land, waarbij nepprofielen op LinkedIn zijn gemaakt, die zich voordoen als zowel recruiters als werkzoekenden om illegale inkomsten te genereren voor het door sancties getroffen land.

Sapphire Sleet, waarvan bekend is dat het al sinds 2020 actief is, overlapt met hackgroepen als APT38 en BlueNoroff. In november 2023 onthulde de technologiegigant dat de dreigingsactor een infrastructuur had opgezet die zich voordeed als portalen voor de beoordeling van vaardigheden om zijn social engineering-campagnes uit te voeren.

Een van de belangrijkste methoden die de groep al meer dan een jaar hanteert, is zich voordoen als durfkapitalist en op bedrieglijke wijze een belang claimen in het bedrijf van een beoogde gebruiker om zo een online bijeenkomst te organiseren. Doelwitten die in het aas trappen en proberen verbinding te maken met de vergadering krijgen foutmeldingen te zien waarin ze worden aangespoord contact op te nemen met de ruimtebeheerder of het ondersteuningsteam voor hulp.

Als het slachtoffer contact opneemt met de bedreigingsacteur, ontvangt hij of zij een AppleScript-bestand (.scpt) of een Visual Basic Script-bestand (.vbs), afhankelijk van het besturingssysteem dat wordt gebruikt om het vermeende verbindingsprobleem op te lossen.

Onder de motorkap wordt het script gebruikt om malware te downloaden naar de besmette Mac- of Windows-machine, waardoor de aanvallers uiteindelijk inloggegevens en cryptocurrency-portefeuilles kunnen verkrijgen voor daaropvolgende diefstal.

Sapphire Sleet is geïdentificeerd als een recruiter voor financiële bedrijven als Goldman Sachs op LinkedIn om potentiële doelen te bereiken en hen te vragen een vaardighedenbeoordeling te voltooien die wordt gehost op een website die onder hun controle staat.

“De bedreigingsacteur stuurt de beoogde gebruiker een inlogaccount en wachtwoord”, aldus Microsoft. “Door in te loggen op de website en de code te downloaden die is gekoppeld aan de vaardigheidsbeoordeling, downloadt de doelgebruiker malware op zijn apparaat, waardoor de aanvallers toegang kunnen krijgen tot het systeem.”

Redmond heeft ook de Noord-Koreaanse uitzending van duizenden IT-werknemers naar het buitenland gekarakteriseerd als een drievoudige dreiging die geld verdient voor het regime door ‘legitiem’ werk, hen in staat stelt misbruik te maken van hun toegang om intellectueel eigendom in handen te krijgen, en gegevensdiefstal vergemakkelijkt in ruil voor een losgeld.

“Aangezien het voor iemand in Noord-Korea moeilijk is om zich aan te melden voor zaken als een bankrekening of telefoonnummer, moeten de IT-medewerkers gebruik maken van facilitators om hen te helpen toegang te krijgen tot platforms waar ze kunnen solliciteren naar banen op afstand”, aldus het rapport. “Deze facilitators worden door de IT-medewerkers gebruikt voor taken zoals het aanmaken van een account op een freelance vacaturesite.”

Dit omvat het maken van valse profielen en portfolio’s op ontwikkelaarsplatforms zoals GitHub en LinkedIn om met recruiters te communiceren en op banen te solliciteren.

In sommige gevallen zijn ze ook aangetroffen met behulp van kunstmatige intelligentie (AI)-tools zoals Faceswap om foto’s en documenten te wijzigen die van slachtoffers zijn gestolen of om ze te tonen tegen de achtergrond van een professioneel ogende omgeving. Deze foto’s worden vervolgens gebruikt op cv’s of profielen, soms voor meerdere persona’s, die worden ingediend voor sollicitaties.

“Naast het gebruik van AI om te helpen bij het maken van afbeeldingen die worden gebruikt bij sollicitaties, experimenteren Noord-Koreaanse IT-medewerkers met andere AI-technologieën, zoals stemveranderende software”, aldus Microsoft.

“De Noord-Koreaanse IT-medewerkers lijken erg georganiseerd als het gaat om het bijhouden van ontvangen betalingen. Over het geheel genomen lijkt deze groep Noord-Koreaanse IT-medewerkers met hun inspanningen minstens 370.000 dollar te hebben verdiend.”

Thijs Van der Does