Hackerii nord-coreeni își diversifică tacticile: o nouă campanie vizează dezvoltatorii software și portofelele crypto

Adaugă-ne ca sursă preferată în Google

Urmărește-ne in Discover

O nouă grupare de hackeri asociată Coreei de Nord, cunoscută sub numele de UNK_DeadDrop, desfășoară atacuri de tip phishing împotriva dezvoltatorilor software, într-o încercare de a obține acces la date sensibile și la active digitale. Specialiștii în securitate avertizează că operațiunile de acest tip devin tot mai sofisticate și mai ușor de extins la scară largă.

Potrivit unui raport publicat de Proofpoint, gruparea UNK_DeadDrop utilizează metode similare cu cele ale celebrului grup Lazarus, însă cu câteva diferențe importante.

UNK_DeadDrop – strategie inspirată de campania Contagious Interview

În ultimii ani, gruparea Lazarus a devenit cunoscută pentru operațiunile sale de recrutare falsă, desfășurate prin intermediul rețelelor profesionale. Atacatorii creau companii fictive, profiluri false de angajați și oferte de muncă atractive pentru specialiști din domenii precum inteligența artificială și Web3.

Procesul de recrutare includea de regulă o probă tehnică. Candidații erau invitați să ruleze cod descărcat de pe GitHub, iar în realitate acesta conținea programe malițioase capabile să fure date și informații despre portofelele de criptomonede.

Potrivit mai multor estimări, Lazarus ar fi sustras de-a lungul anilor active digitale în valoare de miliarde de dolari.

UNK_DeadDrop schimbă metoda de atac

Noua grupare analizată de Proofpoint folosește o abordare diferită. În loc să contacteze victimele prin LinkedIn, atacatorii preferă mesajele trimise direct prin e-mail.

De asemenea, aceștia nu organizează interviuri fictive. În schimb, trimit oferte de angajare nesolicitate sau solicitări de revizuire a unor proiecte software. Mesajele includ linkuri către depozite de cod compromise, care ascund programe malware concepute special pentru această campanie.

Experții susțin că infrastructura utilizată de UNK_DeadDrop este diferită de cea observată anterior în operațiunile Contagious Interview.

Atacurile devin mai eficiente și mai greu de detectat

Specialiștii în securitate consideră că această schimbare de strategie indică o maturizare a operațiunilor cibernetice atribuite Coreei de Nord.

În locul unor atacuri individuale, care necesitau interacțiuni îndelungate cu victimele, noile campanii se bazează pe distribuirea în masă a mesajelor de phishing și a linkurilor către depozite compromise.

Potrivit cercetătorilor Proofpoint, această evoluție sugerează o încercare de industrializare a procesului de atac, ceea ce permite extinderea rapidă a operațiunilor și creșterea numărului de potențiale victime.

Dezvoltatorii rămân ținta principală

Atât Lazarus, cât și UNK_DeadDrop urmăresc în special dezvoltatorii software care lucrează pentru companii din domenii strategice, inclusiv inteligență artificială, blockchain și criptomonede.

Accesul la conturile acestor specialiști poate deschide calea către sisteme interne, date confidențiale și active digitale valoroase, ceea ce transformă sectorul tehnologic într-una dintre principalele ținte ale grupărilor de criminalitate cibernetică asociate statului nord-coreean.