Gli attori delle minacce legate alla Corea del Nord dietro l'intervista contagiosa hanno creato società di copertura come un modo per distribuire malware durante il falso processo di assunzione.
"In questa nuova campagna, il gruppo di attori delle minacce sta utilizzando tre società di facciata nel settore della consulenza sulle criptovalute: BlockNovas LLC (blocknovas[.] com), Angeloper Agency (angeloper[.]com) e SoftGlide LLC (softglide[.]co) – per diffondere malware tramite 'esche per colloqui di lavoro'", ha affermato Silent Push in un'analisi approfondita.
L'attività, ha affermato la società di sicurezza informatica, viene utilizzata per distribuire tre diverse famiglie di malware note, BeaverTail, InvisibleFerret e OtterCookie.
Contagious Interview è una delle numerose campagne di ingegneria sociale a tema lavorativo orchestrate dalla Corea del Nord per invogliare gli obiettivi a scaricare malware multipiattaforma con il pretesto di assegnare un compito di codifica o risolvere un problema con il browser quando si accende la telecamera durante una valutazione video.
L'attività è monitorata dalla più ampia comunità di sicurezza informatica con i moniker CL-STA-0240, DeceptiveDevelopment, DEV#POPPER, Famous Chollima, UNC5342 e Void Dokkaebi.
L'uso di società di facciata per la propagazione del malware, integrato dalla creazione di account fraudolenti su Facebook, LinkedIn, Pinterest, X, Medium, GitHub e GitLab, segna una nuova escalation per gli attori delle minacce, che sono stati osservati utilizzare varie bacheche di lavoro per attirare le vittime.
"La società di facciata BlockNovas ha 14 persone che presumibilmente lavorano per loro, tuttavia molte delle personalità dei dipendenti [...] sembrano essere falsi", ha detto Silent Push. "Quando si visualizza la pagina 'Chi siamo' di blocknovas[.]com tramite la Wayback Machine, il gruppo ha affermato di operare da "12+ anni", ovvero 11 anni in più rispetto a quanto è stata registrata l'attività".
Gli attacchi portano al dispiegamento di un ladro e caricatore JavaScript chiamato BeaverTail, che viene poi utilizzato per rilasciare una backdoor Python denominata InvisibleFerret in grado di stabilire la persistenza su host Windows, Linux e macOS. È stato anche scoperto che alcune catene di infezione servono un altro malware con nome in codice OtterCookie tramite lo stesso payload JavaScript utilizzato per avviare BeaverTail.
BlockNovas è stato osservato utilizzare valutazioni video per distribuire FROSTYFERRET e GolangGhost utilizzando esche correlate a ClickFix, una tattica che è stata dettagliata all'inizio di questo mese da Sekoia, che sta monitorando l'attività sotto il nome di ClickFake Interview.
BeaverTail è configurato per contattare un server esterno ("lianxinxiao[.]com") per il comando e controllo (C2) per servire InvisibleFerret come carico utile di follow-up. Viene fornito con varie funzionalità per raccogliere informazioni di sistema, avviare una shell inversa, scaricare moduli aggiuntivi per rubare dati e file del browser e avviare l'installazione del software di accesso remoto AnyDesk.
Un'ulteriore analisi dell'infrastruttura dannosa ha rivelato la presenza di una "Dashboard di stato" ospitata su uno dei sottodomini di BlockNovas per mantenere la visibilità in quattro dei loro domini: lianxinxiao[.]com, angeloperonline[.]online e softglide[.]co.
Un sottodominio separato, mail.blocknovas[.]com, è stato anche scoperto che ospita un sistema di gestione del cracking delle password distribuito open source chiamato Hashtopolis. Le false campagne di reclutamento hanno portato almeno uno sviluppatore a compromettere il proprio portafoglio MetaMask nel settembre 2024.
Non è tutto. Gli attori delle minacce sembrano anche ospitare uno strumento chiamato Kryptoneer sul dominio attisscmo[.]com che offre la possibilità di connettersi a portafogli di criptovaluta come Suiet Wallet, Ethos Wallet e Sui Wallet.
"È possibile che gli attori delle minacce nordcoreane abbiano compiuto ulteriori sforzi per prendere di mira la blockchain Sui, o che questo dominio possa essere utilizzato all'interno dei processi di candidatura come esempio del 'progetto crittografico' su cui si sta lavorando", ha affermato Silent Push.
BlockNovas, secondo un rapporto indipendente pubblicato da Trend Micro, nel dicembre 2024 ha anche pubblicizzato una posizione aperta per un ingegnere informatico senior su LinkedIn, rivolgendosi in particolare ai professionisti IT ucraini.
A partire dal 23 aprile 2025, il dominio BlockNovas è stato sequestrato dal Federal Bureau of Investigation (FBI) degli Stati Uniti nell'ambito di un'azione delle forze dell'ordine contro gli attori informatici nordcoreani per averlo utilizzato per "ingannare le persone con falsi annunci di lavoro e distribuire malware".
Oltre all'utilizzo di servizi come Astrill VPN e proxy residenziali per offuscare la propria infrastruttura e le proprie attività, un aspetto degno di nota dell'attività dannosa è l'uso di strumenti basati sull'intelligenza artificiale (AI) come Remaker per creare immagini del profilo.
La società di sicurezza informatica, nella sua analisi della campagna Contagious Interview, ha affermato di aver identificato cinque intervalli di IP russi che sono stati utilizzati per eseguire l'operazione. Questi indirizzi IP sono oscurati da un livello VPN, un livello proxy o un livello RDP.
"Gli intervalli di indirizzi IP russi, che sono nascosti da una grande rete di anonimizzazione che utilizza servizi VPN commerciali, server proxy e numerosi server VPS con RDP, sono assegnati a due società a Khasan e Khabarovsk", hanno detto i ricercatori di sicurezza Feike Hacquebord e Stephen Hilt.
"Khasan è a un miglio dal confine tra Corea del Nord e Russia e Khabarovsk è nota per i suoi legami economici e culturali con la Corea del Nord".
Se il colloquio contagioso è un lato della medaglia, l'altro è la minaccia fraudolenta dei lavoratori IT nota come Wagemole, che si riferisce a una tattica che prevede la creazione di falsi personaggi utilizzando l'intelligenza artificiale per far assumere i propri lavoratori IT da remoto come dipendenti di grandi aziende.
Questi sforzi hanno una duplice motivazione, progettata per rubare dati sensibili e perseguire un guadagno finanziario incanalando una parte degli stipendi mensili nella Repubblica Popolare Democratica di Corea (RPDC).
"I facilitatori stanno ora utilizzando strumenti basati su GenAI per ottimizzare ogni fase del processo di candidatura e colloquio per i ruoli e per aiutare i cittadini della RPDC che tentano di mantenere questo impiego", ha detto Okta.
"Questi servizi potenziati da GenAI sono necessari per gestire la programmazione dei colloqui di lavoro con più candidati della RPDC da parte di un piccolo gruppo di facilitatori. Questi servizi utilizzano GenAI in tutto, dagli strumenti che trascrivono o riassumono le conversazioni, alla traduzione in tempo reale di voce e testo".
I dati di telemetria raccolti da Trend Micro indicano che gli attori delle minacce allineati a Pyongyang lavorano da Cina, Russia e Pakistan, utilizzando gli intervalli IP russi per connettersi a dozzine di server VPS su RDP e quindi eseguire attività come l'interazione su siti di reclutamento di lavoro e l'accesso a servizi relativi alle criptovalute.
"Dato che una parte significativa degli strati più profondi della rete di anonimizzazione degli attori nordcoreani si trova in Russia, è plausibile, con una confidenza medio-bassa, che esista una qualche forma di cooperazione intenzionale o condivisione delle infrastrutture tra la Corea del Nord e le entità russe", ha affermato la società.
Pouya Koushandehfar, Senior Manager - Cybersecurity e Privacy presso PwC Australia
