Een gezamenlijk onderzoek onder leiding van Mauro Eldritch, oprichter van BCA LTDuitgevoerd in samenwerking met het Threat-Intel Initiative NoordScan En ELKE.RUN, een oplossing voor interactieve malware-analyse en bedreigingsinformatie heeft een van de meest hardnekkige infiltratieprogramma’s van Noord-Korea blootgelegd: een netwerk van externe IT-medewerkers verbonden aan de Famous Chollima-divisie van Lazarus Group.
Voor het eerst slaagden onderzoekers erin de operators aan het werk te zien livewaarbij ze hun activiteiten vastlegden op wat volgens hen echte ontwikkelaarslaptops waren. De machines waren echter volledig gecontroleerde, langlopende sandbox-omgevingen gecreëerd door ANY.RUN.
De opzet: word gerekruteerd en laat ze dan binnen
De operatie begon toen NorthScan’s Heiner Garcia imiteerde een Amerikaanse ontwikkelaar die het doelwit was van een Lazarus-recruiter met de alias “Aaron” (ook bekend als “Blaze”).
Blaze deed zich voor als een arbeidsbemiddelingsbedrijf en probeerde de nep-ontwikkelaar als frontman in te huren; een bekende Chollima-tactiek die werd gebruikt om Noord-Koreaanse IT-medewerkers naar westerse bedrijven te lokken, voornamelijk in de financiën, crypto, gezondheidszorg en techniek sectoren.
Het schema volgde een bekend patroon:
- een identiteit stelen of lenen,
- interviews doorgeven met AI-tools en gedeelde antwoorden,
- op afstand werken via de laptop van het slachtoffer,
- salaris terugvloeien naar Noord-Korea.
Toen Blaze om volledige toegang vroeg, inclusief SSN, ID, LinkedIn, Gmail en 24/7 beschikbaarheid van laptops, ging het team over naar fase twee.
The Trap: een ‘laptopboerderij’ die niet echt was
In plaats van een echte laptop te gebruiken, implementeerde Mauro Eldritch van BCA LTD de virtuele machines van ANY.RUN Sandbox, elk geconfigureerd om te lijken op een volledig actief persoonlijk werkstation met gebruiksgeschiedenis, ontwikkelaarstools en Amerikaanse residentiële proxyroutering.
Het team kan ook crashes forceren, de connectiviteit beperken en elke beweging vastleggen zonder de operators te waarschuwen.
Wat ze vonden in de beroemde Chollima’s Toolkit
De sandbox-sessies brachten een gestroomlijnde maar effectieve toolset aan het licht die was gebouwd voor identiteitsovername en externe toegang in plaats van voor de implementatie van malware. Nadat hun Chrome-profiel was gesynchroniseerd, laadden de operators:
- AI-gestuurde tools voor taakautomatisering (Vereenvoudig Copilot, AiApply, Final Round AI) om sollicitaties automatisch in te vullen en interviewantwoorden te genereren.
- Browsergebaseerde OTP-generatoren (OTP.ee / Authenticator.cc) voor het afhandelen van de 2FA van slachtoffers nadat identiteitsdocumenten waren verzameld.
- Google Extern bureaubladgeconfigureerd via PowerShell met een vaste pincode, waardoor permanente controle over de host mogelijk is.
- Routine systeem verkenning (dxdiag, systeminfo, whoami) om de hardware en omgeving te valideren.
- Verbindingen worden consistent doorgestuurd Astrill-VPNeen patroon dat verband houdt met eerdere Lazarus-infrastructuur.
In één sessie liet de operator zelfs een Kladblok-bericht achter waarin hij de ‘ontwikkelaar’ vroeg om zijn ID, SSN en bankgegevens te uploaden, waarmee het doel van de operatie werd bevestigd: volledige identiteits- en werkstationovername zonder ook maar één stukje malware in te zetten.
Een waarschuwing voor bedrijven en wervingsteams
Inhuren op afstand is een stil maar betrouwbaar toegangspunt geworden voor op identiteit gebaseerde bedreigingen. Aanvallers bereiken uw organisatie vaak door individuele werknemers te targeten met ogenschijnlijk legitieme interviewverzoeken. Als ze eenmaal binnen zijn, gaat het risico veel verder dan één enkele gecompromitteerde werknemer. Een infiltrant kan toegang krijgen tot interne dashboards, gevoelige bedrijfsgegevens en accounts op managerniveau die een echte operationele impact hebben.
Het vergroten van het bewustzijn binnen het bedrijf en het geven van een veilige plek aan teams om iets verdachts te controleren, kan het verschil betekenen tussen het vroegtijdig stoppen van een aanpak en het later afhandelen van een volledig intern compromis.
