Gli hacker nordcoreani sfruttano false aziende di criptovalute e colloqui di lavoro per diffondere malware
In una nuova, inquietante svolta nelle tattiche del cybercrimine, hacker legati alla Corea del Nord si spacciano per legittime società di consulenza in criptovalute per diffondere malware durante falsi colloqui di lavoro. La sofisticata campagna, scoperta da esperti di sicurezza informatica, mostra fino a che punto gli autori delle minacce siano disposti a spingersi per infiltrarsi nei sistemi e rubare informazioni sensibili.
Table of Contents
Aziende false, minacce reali
Secondo un'analisi approfondita condotta da Silent Push, gli autori della minaccia dietro la cosiddetta campagna "Contagious Interview" hanno creato tre società di facciata:
- BlockNovas LLC (blocknovas[.]com)
- Agenzia Angeloper (angeloper[.]com)
- SoftGlide LLC (softglide[.]co)
Queste aziende fasulle attirano vittime ignare, per lo più professionisti dell'IT e delle criptovalute, in finti processi di assunzione. Con il pretesto di incarichi di programmazione o colloqui tecnici, i candidati vengono indotti a scaricare malware camuffati da materiale di lavoro legittimo.
Le famiglie di malware impiegate in questa operazione includono BeaverTail, InvisibleFerret e OtterCookie, ciascuna accuratamente progettata per compromettere un'ampia gamma di sistemi, tra cui Windows, Linux e macOS.
Una rete di inganni
L'operazione Contagious Interview, monitorata anche dalle aziende di sicurezza informatica con nomi quali DeceptiveDevelopment e Famous Chollima, rappresenta una drammatica escalation nelle tattiche di spionaggio informatico della Corea del Nord.
Gli hacker non si limitano ai siti web falsi. Hanno creato profili fraudolenti su piattaforme di social media come Facebook, LinkedIn, Pinterest, X (ex Twitter), Medium, GitHub e GitLab per dare credibilità alle loro operazioni. Silent Push ha osservato che BlockNovas ha persino creato un intero team di dipendenti per il suo sito web, affermando falsamente di avere oltre 12 anni di esperienza, nonostante l'azienda fosse appena registrata.
Questo inganno culmina nell'implementazione di malware. Le vittime prese di mira durante il processo di assunzione scaricano inavvertitamente BeaverTail, un programma di stealer e loader JavaScript, che installa poi InvisibleFerret, una backdoor in grado di mantenere la persistenza e di esfiltrare dati sensibili. Alcune infezioni rilasciano anche un malware secondario chiamato OtterCookie.
Infrastrutture e obiettivi
BlockNovas non si è limitato a siti web e profili falsi. Gli investigatori di Silent Push hanno trovato una "Status Dashboard" su uno dei sottodomini di BlockNovas, utilizzata per monitorare diversi domini coinvolti negli attacchi. Inoltre, mail.blocknovas[.]com ospitava Hashtopolis, uno strumento open source per la gestione del cracking delle password.
Le campagne di reclutamento fasulle hanno già mietuto vittime. In un caso confermato, risalente a settembre 2024, il wallet di criptovalute MetaMask di uno sviluppatore è stato compromesso.
Un'altra scoperta allarmante ha coinvolto un sito chiamato Kryptoneer (ospitato su attisscmo[.]com), che offre servizi per connettere portafogli di criptovalute, una mossa probabilmente mirata a colpire gli utenti della blockchain, in particolare quelli connessi alla blockchain Sui.
Repressione e implicazioni internazionali
Il 23 aprile 2025, le forze dell'ordine statunitensi, tra cui l'FBI, hanno sequestrato il dominio BlockNovas, accusandolo di aver diffuso malware sotto forma di false opportunità di lavoro.
Oltre agli exploit tecnici, i ricercatori hanno notato l'utilizzo da parte degli autori della minaccia di strumenti basati sull'intelligenza artificiale come Remaker per generare immagini di profilo false e realistiche, aumentando la credibilità delle loro aziende fittizie. Ci sono anche prove che suggeriscono legami con le infrastrutture russe: gli investigatori hanno ricondotto l'operazione a intervalli IP russi mascherati da VPN, proxy e server VPS vicino al confine tra Corea del Nord e Russia.
Alla luce di questi legami, gli esperti ipotizzano che potrebbe esserci un certo livello di cooperazione o quantomeno di condivisione delle infrastrutture tra i criminali informatici nordcoreani e russi, anche se la conferma resta a un livello di affidabilità basso-medio.
Il quadro generale: gli strumenti Wagemole e GenAI
La campagna "Contagious Interview" è solo un aspetto di una strategia nordcoreana più ampia. Un'altra tattica, nota come "Wagemole", prevede che agenti nordcoreani utilizzino profili generati dall'intelligenza artificiale per ottenere impieghi legittimi presso aziende straniere. Gli stipendi derivanti da questi lavori vengono poi riversati al regime.
L'azienda di sicurezza informatica Okta ha avvertito che i facilitatori nordcoreani stanno utilizzando sempre più strumenti di intelligenza artificiale generativa (GenAI) per gestire i programmi, trascrivere le conversazioni e tradurre le interviste in tempo reale, rendendo i loro tentativi di infiltrazione più difficili da rilevare e interrompere.
Una maggiore vigilanza è fondamentale
Questa campagna mette in luce la crescente sofisticazione degli attacchi informatici sponsorizzati dagli stati e l'uso innovativo dell'ingegneria sociale. I lavoratori del settore tecnologico, in particolare quelli nei settori delle criptovalute e della finanza, devono rimanere estremamente vigili quando vengono contattati per offerte di lavoro, soprattutto se il processo di assunzione sembra affrettato, insolito o comporta il download di file non familiari.
Le organizzazioni devono rafforzare i processi di selezione dei candidati e le difese di sicurezza informatica. In un'epoca in cui un'offerta di lavoro apparentemente innocua può aprire le porte a infezioni malware devastanti, la cautela non è più un optional: è essenziale.
