Atacurile cibernetice lansate de grupuri de hackeri afiliate regimului nord-coreean au atins un nou nivel de sofisticare. Folosind o combinaţie de companii fictive şi interviuri false, aceştia reuşesc să infiltreze malware în industria criptomonedelor. Cea mai recentă campanie, numită Contagious Interview, scoate în evidenţă o strategie complexă care implică inginerie socială, inteligenţă artificială şi tehnologii avansate de ascundere a identităţii.
Gruparea a creat trei companii-fantomă – BlockNovas LLC, Angeloper Agency şi SoftGlide LLC – care pretind că oferă servicii de consultanţă în domeniul crypto. În realitate, scopul lor este de a disemina malware prin procese de recrutare fictive.
Candidaţii sunt atraşi prin anunţuri de angajare, apoi invitaţi la interviuri video unde li se cere să descarce un fişier „de evaluare tehnică”. Acesta conţine, de fapt, malware-uri complexe precum BeaverTail, InvisibleFerret şi OtterCookie, capabile să fure date sensibile, să creeze conexiuni reversibile şi să instaleze aplicaţii de control la distanţă, precum AnyDesk.
Pentru a face companiile false să pară credibile, hackerii creează profiluri fictive pe platforme precum LinkedIn, GitHub şi Medium. Întreaga infrastructură este susţinută de servere externe şi panouri de control ascunse, mascate sub domenii aparent legitime.
Spre deosebire de campaniile anterioare, hackerii folosesc acum inteligenţa artificială pentru a automatiza întregul proces: de la programarea interviurilor, la crearea de poze de profil generate cu GenAI şi traduceri în timp real pentru a purta conversaţii fluente în mai multe limbi.
Atacatorii operează din locaţii precum China, Rusia şi Pakistan, utilizând VPN-uri, servere proxy şi VPS-uri cu acces RDP pentru a-şi ascunde identitatea. Informaţiile de telemetrie sugerează că o parte semnificativă a infrastructurii este găzduită în Rusia, indicând o posibilă colaborare între entităţi nord-coreene şi ruseşti.
Un alt aspect alarmant este utilizarea platformei Hashtopolis, găzduită pe subdomeniile BlockNovas, pentru atacuri de tip cracking de parole – o dovadă în plus a complexităţii acestei operaţiuni.
Aceste atacuri nu se limitează la furtul de criptomonede sau compromiterea dispozitivelor. Ele fac parte dintr-o strategie extinsă de infiltrare: prin programul Wagemole, IT-işti nord-coreeni sunt angajaţi sub identităţi false în companii occidentale, iar o parte din veniturile obţinute ajung în mod direct la regimul de la Phenian. Această metodă dublează beneficiile – financiare şi de spionaj – pentru regim.
Pe măsură ce aceste reţele subterane devin tot mai greu de detectat datorită AI-ului, autorităţile internaţionale se confruntă cu provocări majore. FBI a reuşit să închidă domeniul BlockNovas, dar specialiştii în securitate avertizează că noi campanii similare, precum ClickFake Interview, sunt iminente.
Într-un context în care AI şi criptomonedele devin tot mai comune, este esenţial ca utilizatorii să fie extrem de precauţi. Orice invitaţie suspectă la un interviu video sau fişier descărcabil trebuie tratată cu scepticism. Verificarea riguroasă a companiilor angajatoare este mai importantă ca oricând.
