Noord-Koreaanse hackers gebruiken nep-cryptobedrijven en sollicitatiegesprekken om malware te verspreiden
In een huiveringwekkende nieuwe draai aan cybercrime-tactieken doen Noord-Koreaanse hackers zich voor als legitieme cryptoconsultancybedrijven om malware te verspreiden tijdens nep-sollicitatiegesprekken. Deze geavanceerde campagne, ontdekt door cybersecurity-experts, laat zien hoe ver cybercriminelen bereid zijn te gaan om systemen te infiltreren en gevoelige informatie te stelen.
Table of Contents
Nepbedrijven, echte bedreigingen
Volgens een diepgaande analyse van Silent Push hebben de cybercriminelen achter de zogenaamde "Contagious Interview"-campagne drie frontbedrijven opgericht:
- BlockNovas LLC (blocknovas[.]com)
- Angeloper Agentschap (angeloper[.]com)
- SoftGlide LLC (softglide[.]co)
Deze nepbedrijven lokken nietsvermoedende slachtoffers – voornamelijk IT- en cryptoprofessionals – naar valse sollicitatieprocedures. Onder het mom van programmeeropdrachten of technische sollicitatiegesprekken worden sollicitanten verleid tot het downloaden van malware, vermomd als legitiem werkmateriaal.
De malwarefamilies die bij deze operatie worden ingezet, zijn onder meer BeaverTail, InvisibleFerret en OtterCookie. Deze zijn allemaal zorgvuldig samengesteld om een breed scala aan systemen te infecteren, waaronder Windows, Linux en macOS.
Een web van bedrog
De operatie 'Contagious Interview', die cybersecuritybedrijven ook volgen onder namen als DeceptiveDevelopment en Famous Chollima, vertegenwoordigt een dramatische escalatie in Noord-Koreaanse cyberespionagetactieken.
De hackers beperken zich niet tot nepwebsites. Ze hebben frauduleuze profielen aangemaakt op socialemediaplatforms zoals Facebook, LinkedIn, Pinterest, X (voorheen Twitter), Medium, GitHub en GitLab om hun activiteiten geloofwaardiger te maken. Silent Push merkte op dat BlockNovas zelfs een heel team van medewerkers voor hun website heeft gefabriceerd, met valselijk de claim dat ze meer dan 12 jaar ervaring hadden – ondanks dat het bedrijf pas net geregistreerd was.
Deze misleiding culmineert in de implementatie van malware. Slachtoffers die via het sollicitatieproces worden aangevallen, downloaden onbedoeld BeaverTail, een JavaScript-stealer en -loader, die vervolgens InvisibleFerret installeert, een backdoor die persistentie behoudt en gevoelige gegevens exfiltreert. Sommige infecties plaatsen ook een secundaire malwaretool genaamd OtterCookie.
Infrastructuur en doelstellingen
BlockNovas beperkte zich niet tot websites en nepprofielen. Onderzoekers van Silent Push vonden een "Status Dashboard" op een van BlockNovas' subdomeinen, dat gebruikt werd om meerdere domeinen die bij de aanvallen betrokken waren, te monitoren. Daarnaast werd ontdekt dat mail.blocknovas[.]com Hashtopolis host, een open-source tool voor het beheren van wachtwoordkraken.
De nep-wervingscampagnes hebben al slachtoffers geëist. In één bevestigd geval uit september 2024 werd de MetaMask-cryptovalutawallet van een ontwikkelaar gehackt.
Een andere alarmerende ontdekking betrof een site genaamd Kryptoneer (gehost op attisscmo[.]com), die diensten aanbood om cryptowallets met elkaar te verbinden – een stap die mogelijk gericht was op blockchaingebruikers, met name zij die verbonden zijn met de Sui-blockchain.
Hardhandig optreden en internationale gevolgen
Sinds 23 april 2025 hebben Amerikaanse wetshandhavingsinstanties, waaronder de FBI, het domein BlockNovas in beslag genomen. Ze zouden een rol hebben gespeeld bij de verspreiding van malware onder het mom van nepvacatures.
Naast de technische exploits hebben onderzoekers opgemerkt dat de aanvallers gebruik maken van AI-tools zoals Remaker om realistische nepprofielfoto's te genereren, wat de geloofwaardigheid van hun nepbedrijven vergroot. Er zijn ook aanwijzingen voor banden met de Russische infrastructuur: onderzoekers hebben de operatie herleid tot Russische IP-adressen, gemaskeerd door VPN's, proxyservers en VPS-servers nabij de grens tussen Noord-Korea en Rusland.
Gezien deze banden suggereren experts dat er mogelijk sprake is van enige samenwerking of op zijn minst het delen van infrastructuur tussen Noord-Koreaanse en Russische cybercriminelen. De zekerheid hierover is echter nog laag tot gemiddeld.
Het grotere plaatje: Wagemole en GenAI-tools
De Contagious Interview-campagne is slechts één aspect van een bredere Noord-Koreaanse strategie. Een andere tactiek, bekend als Wagemole, houdt in dat Noord-Koreaanse agenten AI-gegenereerde persona's gebruiken om legitieme banen bij buitenlandse bedrijven te bemachtigen. De salarissen van deze banen worden vervolgens teruggesluisd naar het regime.
Cybersecuritybedrijf Okta waarschuwde dat Noord-Koreaanse facilitators steeds vaker gebruikmaken van Generative AI (GenAI)-tools om schema's te beheren, gesprekken te transcriberen en interviews in realtime te vertalen. Hierdoor zijn hun infiltratiepogingen moeilijker te detecteren en te verstoren.
Verhoogde waakzaamheid is cruciaal
Deze campagne benadrukt de toenemende verfijning van door staten gesponsorde cyberaanvallen en het innovatieve gebruik van social engineering. Techmedewerkers, met name in de crypto- en financiële sector, moeten uiterst waakzaam blijven wanneer ze worden benaderd met vacatures, vooral als de sollicitatieprocedure gehaast, ongebruikelijk lijkt of het downloaden van onbekende bestanden inhoudt.
Organisaties moeten hun screeningprocessen voor sollicitanten en hun cyberbeveiliging versterken. In een tijdperk waarin een ogenschijnlijk onschuldige baan de deur kan openen naar verwoestende malware-infecties, is voorzichtigheid niet langer optioneel, maar essentieel.
