Nordkoreanske hackere bruger falske kryptovirksomheder og jobinterviews til at sprede malware
I en rystende ny drejning af cyberkriminalitetstaktikker, udgiver nordkoreansk-linkede hackere sig som legitime kryptovaluta-konsulentfirmaer for at sprede malware under falske jobsamtaler. Den sofistikerede kampagne, afdækket af cybersikkerhedseksperter, viser, hvor langt trusselsaktører er villige til at gå for at infiltrere systemer og stjæle følsom information.
Table of Contents
Falske virksomheder, reelle trusler
Ifølge en dybdegående analyse fra Silent Push har trusselsaktørerne bag den såkaldte "Contagious Interview"-kampagne oprettet tre frontvirksomheder:
- BlockNovas LLC (blocknovas[.]com)
- Angeloper Agency (angeloper[.]com)
- SoftGlide LLC (softglide[.]co)
Disse falske virksomheder lokker intetanende ofre – for det meste IT- og cryptocurrency-professionelle – ind i falske ansættelsesprocesser. Under dække af kodeopgaver eller tekniske interviews bliver ansøgere narret til at downloade malware forklædt som lovligt arbejdsmateriale.
De malware-familier, der er implementeret i denne operation, inkluderer BeaverTail, InvisibleFerret og OtterCookie - hver især omhyggeligt udformet til at kompromittere en lang række systemer, inklusive Windows, Linux og macOS.
Et net af bedrag
Operationen Contagious Interview, som cybersikkerhedsfirmaer også sporer under navne som DeceptiveDevelopment og Famous Chollima, repræsenterer en dramatisk eskalering i nordkoreanske cyberspionagetaktikker.
Hackerne stopper ikke ved falske hjemmesider. De har oprettet svigagtige profiler på tværs af sociale medieplatforme som Facebook, LinkedIn, Pinterest, X (tidligere Twitter), Medium, GitHub og GitLab for at tilføje legitimitet til deres operationer. Silent Push bemærkede, at BlockNovas endda fremstillede et helt team af medarbejdere til sin hjemmeside, og hævdede fejlagtigt over 12 års erfaring - på trods af, at virksomheden var nyregistreret.
Dette bedrag kulminerer i udrulning af malware. Ofre, der er målrettet gennem ansættelsesprocessen, downloader utilsigtet BeaverTail, en JavaScript-tyver og indlæser, som derefter installerer InvisibleFerret, en bagdør, der er i stand til at opretholde persistens og eksfiltrere følsomme data. Nogle infektioner dropper også et sekundært malwareværktøj kaldet OtterCookie.
Infrastruktur og mål
BlockNovas stoppede ikke kun ved hjemmesider og falske profiler. Silent Push-efterforskere fandt et "Status Dashboard" på et af BlockNovas' underdomæner, der bruges til at overvåge flere domæner involveret i angrebene. Derudover blev mail.blocknovas[.]com fundet som vært for Hashtopolis, et open source-værktøj til håndtering af adgangskoder.
De falske rekrutteringsdrev har allerede krævet ofre. I et bekræftet tilfælde fra september 2024 fik en udvikler deres MetaMask-cryptocurrency-pung kompromitteret.
En anden alarmerende opdagelse involverede et websted kaldet Kryptoneer (hostet på attisscmo[.]com), der tilbyder tjenester til at forbinde cryptocurrency-punge – et skridt, der muligvis har til formål at målrette mod blockchain-brugere, især dem, der er forbundet med Sui blockchain.
Nedbrud og internationale implikationer
Fra den 23. april 2025 har amerikansk retshåndhævelse, inklusive FBI, beslaglagt BlockNovas-domænet med henvisning til dets rolle i spredning af malware under dække af falske jobmuligheder.
Ud over de tekniske udnyttelser har forskere bemærket truslens aktørers brug af AI-drevne værktøjer som Remaker til at generere realistiske falske profilbilleder, hvilket øger troværdigheden af deres falske virksomheder. Der er også beviser, der tyder på bånd til russisk infrastruktur: Efterforskere sporede operationen tilbage til russiske IP-områder maskeret af VPN'er, proxyer og VPS-servere nær grænsen mellem Nordkorea og Rusland.
I betragtning af disse bånd antyder eksperter, at der kan være et niveau af samarbejde eller i det mindste deling af infrastruktur mellem nordkoreanske og russiske cyberkriminelle, selvom bekræftelsen fortsat er på lav til medium tillid.
Det større billede: Wagemole og GenAI Tools
Kampagnen Contagious Interview er blot en facet af en bredere nordkoreansk strategi. En anden taktik, kendt som Wagemole, involverer nordkoreanske operatører, der bruger AI-genererede personaer for at sikre legitim beskæftigelse hos udenlandske virksomheder. Lønninger fra disse job sendes derefter tilbage til regimet.
Cybersikkerhedsfirmaet Okta advarede om, at nordkoreanske facilitatorer i stigende grad bruger Generative AI (GenAI) værktøjer til at administrere tidsplaner, transskribere samtaler og oversætte interviews i realtid - hvilket gør deres infiltrationsindsats sværere at opdage og forstyrre.
Øget årvågenhed er afgørende
Denne kampagne fremhæver den voksende sofistikering af statssponsorerede cyberangreb og den innovative brug af social engineering. Tekniske medarbejdere, især dem i cryptocurrency- og finanssektoren, skal forblive overvågne, når de bliver kontaktet med jobmuligheder, især hvis ansættelsesprocessen virker forhastet, usædvanlig eller involverer download af ukendte filer.
Organisationer skal styrke deres ansøgerscreeningsprocesser og cybersikkerhedsforsvar. I en æra, hvor et tilsyneladende uskyldigt jobtilbud kunne åbne døren til ødelæggende malware-infektioner, er forsigtighed ikke længere valgfri – det er vigtigt.
