Atacurile cibernetice coordonate de hackeri nord-coreeni ating noi culmi de sofisticare. Cu o strategie ingenioasă și periculoasă, aceștia utilizează firme fictive și interviuri false de angajare pentru a răspândi malware în industria criptovalutelor. Campania recentă, numită „Contagious Interview”, evidențiază o îngrijorătoare combinație de inginerie socială, inteligență artificială și tehnologii avansate de anonimizare.

Grupul de hackeri a creat trei companii false, specializate aparent în consultanță cripto: BlockNovas LLC, Angeloper Agency și SoftGlide LLC. Scopul lor nu este unul comercial, ci strict infracțional: răspândirea malware-ului prin falsuri de recrutare.

Odată ce un candidat răspunde la o ofertă de muncă, este invitat la un interviu video, unde i se cere să descarce un presupus fișier pentru evaluarea abilităților. De fapt, fișierul conține malware sofisticate precum BeaverTail, InvisibleFerret și OtterCookie. Aceste programe maligne pot fura informații importante, crea accesuri ilegale și instala aplicații de control la distanță, cum ar fi AnyDesk.

În paralel, hackerii utilizează conturi false pe platforme precum LinkedIn, GitHub și Medium, pentru a crea o aparență de legitimitate pentru firmele lor fictive. Infrastructura lor include servere externe și panouri de control secrete pentru monitorizarea operațiunilor malware, totul camuflat sub domenii aparent legitime.

De la criptomonede la inteligență artificială: tehnologii avansate în serviciul atacurilor nord-coreene

În comparație cu campaniile anterioare, hackerii folosesc acum inteligența artificială pentru a optimiza fiecare etapă a fraudei. Cu ajutorul instrumentelor de inteligență artificială generativă (GenAI), creează profiluri credibile pentru conturile false și automatizează programările la interviuri. De asemenea, folosesc traduceri în timp real pentru a păcăli recrutorii internaționali, menținând conversații fluente în mai multe limbi.

În spatele acestei operațiuni, atacatorii nord-coreeni operează din locații din China, Rusia și Pakistan, folosind straturi complexe de anonimizare, inclusiv VPN-uri comerciale, servere proxy și VPS-uri cu acces RDP. Datele de monitorizare indică faptul că o parte semnificativă a infrastructurii lor de anonimizare este găzduită în Rusia, sugerând o posibilă colaborare între entități din Rusia și Coreea de Nord.

Un alt aspect îngrijorător este utilizarea platformei Hashtopolis, găzduită pe subdomeniile BlockNovas, pentru gestionarea atacurilor de tip cracker de parole. Această rețea complexă de instrumente și tehnici confirmă amploarea operațiunii și periculozitatea amenințării.

De ce aceste atacuri sunt o dublă amenințare: furt de informații și finanțare clandestină a regimului

Atacurile nu se limitează la compromisele de dispozitive sau la furtul de criptovalute. Ele fac parte dintr-o strategie mai vastă, care include infiltrarea de specialiști IT nord-coreeni în companii internaționale prin crearea de identități false. Inițiativa „Wagemole” vizează angajarea de cetățeni nord-coreeni sub identități false pentru a lucra de la distanță în firme occidentale, unde o parte din salariile lor este apoi direcționată către regimul din Phenian.

Această metodă combină scopuri economice cu cele de spionaj, permițând regimului să acceseze date sensibile și să obțină finanțări suplimentare. Cu ajutorul noilor tehnologii bazate pe inteligență artificială, aceste rețele clandestine devin din ce în ce mai greu de detectat, complicând eforturile de combatere a criminalității cibernetice.

Autoritățile încearcă să țină pasul. Până acum, FBI a reușit să preia controlul asupra domeniului BlockNovas, într-o acțiune menită să dezmembreze o parte din infrastructura frauduloasă. Cu toate acestea, amenințarea persistă, iar noi campanii similare cu „Contagious Interview” sau „ClickFake Interview” se preconizează.

În lumea criptomonedelor și a inteligenței artificiale, trebuie să fii extrem de atent când aplici pentru locuri de muncă online sau când ești contactat pentru interviuri video. Verifică întotdeauna legitimitatea firmei și nu descărca fișiere necerute, chiar dacă par să provină de la surse legitime.