Noord-Korea-gekoppelde dreigingsacteurs achter het besmettelijke interview hebben frontbedrijven opgezet als een manier om malware te verspreiden tijdens het nep-wervingsproces.
“In deze nieuwe campagne gebruikt de dreigingsacteur Group drie frontbedrijven in de cryptocurrency-consulting-industrie-Blocknovas LLC (Blocknovas (.) Com), Angeloper Agency (Angeloper (.) Com) en Softglide LLC (Softglide (.) Co)-om malware te verspreiden via ‘sollicitatiegesprekken,’ Silent Push zei in een diepe-dive-analyse.
De activiteit, zei het Cybersecurity Company, wordt gebruikt om drie verschillende bekende malwarefamilies, Beavertail, InvisibleFerret en OtterCookie te distribueren.
Convagieus interview is een van de verschillende campagnes met een baanthema die door Noord-Korea zijn georkestreerd om doelen te verleiden om cross-platform malware te downloaden onder het mom van coderingstoewijzing of het oplossen van een probleem met hun browser bij het inschakelen van de camera tijdens een video-beoordeling.
De activiteit wordt gevolgd door de bredere cybersecurity-gemeenschap onder de monikers CL-STA-0240, Ontceptontwikkeling, Dev#Popper, Famous Chollima, UNC5342 en Void Dokkaebi.
Het gebruik van frontbedrijven voor malware -propagatie, aangevuld met het opzetten van frauduleuze accounts op Facebook, LinkedIn, Pinterest, X, Medium, GitHub en Gitlab, markeert een nieuwe escalatie voor de dreigingsactoren, die zijn waargenomen met behulp van verschillende vacatureborden om slachtoffers te lokken.
“Het Blocknovas Front Company heeft 14 mensen die naar verluidt voor hen werken, maar veel van de werknemerspersona’s (…) lijken nep te zijn,” zei Silent Push. “Bij het bekijken van de ‘over ons’ -pagina van BlockNovas (.) Com via de Wayback -machine, beweerde de groep te hebben geëist voor ’12+ jaar’ – die 11 jaar langer is dan het bedrijf is geregistreerd.”
De aanvallen leiden tot de implementatie van een JavaScript -stealer en lader genaamd Beavertail, die vervolgens wordt gebruikt om een Python -achterdeur te laten vallen die onzichtbaar wordt genoemd die persistentie kan vaststellen op Windows, Linux en MacOS -hosts. Er zijn ook geselecteerde infectieketens gevonden om een andere malware -codenaam OtterCookie te bedienen via dezelfde JavaScript -payload die wordt gebruikt om Beavertail te starten.
BlockNovas is waargenomen met behulp van video-beoordelingen om Frostyferret en Golangghost te distribueren met behulp van ClickFix-gerelateerde kunstaas, een tactiek die eerder deze maand werd gedetailleerd door Sekoia, die de activiteit volgt onder de naam Clickfake Interview.
Beavertail is geconfigureerd om contact op te nemen met een externe server (“Lianxinxiao (.) Com”) voor command-and-control (C2) om InvisableFerret te dienen als de follow-up payload. Het wordt geleverd met verschillende functies om systeeminformatie te oogsten, een omgekeerde shell te starten, extra modules te downloaden om browsergegevens te stelen, bestanden te stelen en de installatie van de ADEDESK Remote Access -software te starten.
Verdere analyse van de kwaadaardige infrastructuur heeft de aanwezigheid van een “statusdashboard” aangetoond dat is georganiseerd op een van de subdomeinen van Blocknovas om het zicht in vier van hun domeinen te behouden: Lianxinxiao (.) Com, Angeloperonline (.) Online, en Softglide (.) CO.
Een afzonderlijk subdomein, Mail.Blocknovas (.) COM-domein, is ook gebleken dat het een open-source, gedistribueerd wachtwoord kraakbeheersysteem wordt georganiseerd genaamd Hashtopolis. De nep -wervingsaandrijvingen hebben ertoe geleid dat ten minste één ontwikkelaar in september 2024 hun Metamask -portemonnee heeft aangetast.
Dat is niet alles. De dreigingsacteurs lijken ook een tool te organiseren met de naam Kryptoneer op de domein attisscmo (.) Com die de mogelijkheid biedt om verbinding te maken met cryptocurrency -portefeuilles zoals Suiet Wallet, Ethos Wallet en Sui Wallet.
“Het is mogelijk dat Noord -Koreaanse dreigingsactoren extra inspanningen hebben geleverd om zich te richten op de Sui Blockchain, of dit domein kan worden gebruikt binnen sollicitatieprocessen als een voorbeeld van het ‘crypto -project’ dat wordt gewerkt,” zei Silent Push.
Blocknovas, volgens een onafhankelijk rapport gepubliceerd door Trend Micro, adverteerde ook in december 2024 een open positie voor een senior software -ingenieur op LinkedIn, specifiek gericht op Oekraïense IT -professionals.
Vanaf 23 april 2025 is het Blocknovas -domein in beslag genomen door het US Federal Bureau of Investigation (FBI) als onderdeel van een wetshandhavingsactie tegen Noord -Koreaanse cyberactoren voor het gebruik van het om “personen met nep vacatures te misleiden en malware te verspreiden.”
Naast het gebruik van diensten zoals Astrill VPN en residentiële proxy’s om hun infrastructuur en activiteiten te verdoezelen, is een opmerkelijk aspect van de kwaadaardige activiteit het gebruik van kunstmatige intelligentie (AI) -gestuurde tools zoals Remaker om profielfoto’s te maken.
Het Cybersecurity Company zei in zijn analyse van de besmettelijke interviewcampagne dat het vijf Russische IP -bereiken identificeerde die zijn gebruikt om de operatie uit te voeren. Deze IP -adressen worden verborgen door een VPN -laag, een proxy -laag of een RDP -laag.
“Het Russische IP -adresbereiken, die worden verborgen door een groot anonimisatienetwerk dat commerciële VPN -diensten, proxy -servers en talloze VPS -servers met RDP gebruikt, worden toegewezen aan twee bedrijven in Khasan en Khabarovsk,” zei beveiligingsonderzoekers Feike Hacquebord en Stephen Hilt.
“Khasan ligt op een mijl van de grens met Noord-Korea-Rusland en Khabarovsk staat bekend om zijn economische en culturele banden met Noord-Korea.”
Als besmettelijk interview de ene kant van de medaille is, is de andere de frauduleuze dreiging van IT -werknemer die bekend staat als Wagemole, die verwijst naar een tactiek waarbij neppersona’s worden gemaakt met behulp van AI om hun IT -werknemers op afstand als werknemers bij grote bedrijven te krijgen.
Deze inspanningen hebben dubbele motivaties, ontworpen om gevoelige gegevens te stelen en financieel gewin na te streven door een deel van de maandelijkse salarissen terug te keren naar de Democratische Volksrepubliek Korea (DVK).
“Facilitators gebruiken nu op GenAI gebaseerde tools om elke stap te optimaliseren in het proces van het toepassen en interviewen voor rollen en om DVK-onderdanen te helpen deze werk te behouden,” zei Okta.
“Deze genai-verbeterde services zijn vereist om de planning van sollicitatiegesprekken met meerdere DVK-kandidaat-persona’s te beheren door een klein kader van facilitators. Deze services gebruiken Genai in alles, van tools die gesprekken transcriberen of samenvatten, tot realtime vertaling van spraak en tekst.”
Telemetriegegevens verzameld door Trend Micro Points aan de Pyongyang-uitgelijnde dreigingsacteurs die vanuit China, Rusland en Pakistan werken, terwijl de Russische IP-reeksen worden gebruikt om verbinding te maken met tientallen VPS-servers via RDP en vervolgens taken uitvoeren zoals interactie op banenwervingssites en toegang tot cryptocurrency-diensten.
“Gezien het feit dat een aanzienlijk deel van de diepere lagen van het anonimisatienetwerk van de Noord -Koreaanse actoren in Rusland is, is het aannemelijk, met een laag tot medium vertrouwen, dat een vorm van opzettelijke samenwerking of infrastructuur delen tussen Noord -Korea en Russische entiteiten bestaat,” zei het bedrijf.
