ESET Research ha analizzato campagne di social engineering basate su false interviste di lavoro e la tecnica ClickFix, legate a operatori IT nordcoreani coinvolti in pratiche di assunzione fraudolenta e furto di criptovalute, presentate in un nuovo white paper
I ricercatori di ESET, leader europeo globale nel mercato della cybersecurity, hanno diffuso nuove scoperte su DeceptiveDevelopment, conosciuto anche come Contagious Interview: un gruppo di minaccia allineato alla Corea del Nord che negli ultimi anni ha intensificato le proprie attività. Il gruppo ha come principale obiettivo il furto di criptovalute e prende di mira sviluppatori freelance su Windows, Linux e macOS.
Il nuovo white paper ricostruisce l’evoluzione del gruppo, dai primi malware a toolset più avanzati. Le campagne individuate si fondano su tecniche di social engineering particolarmente ingegnose, come false interviste di lavoro e ClickFix, una metodologia che porta le vittime a eseguire comandi dannosi con il pretesto di risolvere problemi tecnici, consentendo agli attaccanti di distribuire malware ed esfiltrare criptovaluta. Parallelamente, ESET ha analizzato dati di open-source intelligence (OSINT) che collegano gli operatori IT nordcoreani, autori di pratiche di assunzione fraudolenta, al gruppo DeceptiveDevelopment. I risultati sono stati presentati alla conferenza annuale Virus Bulletin (VB).
Attivo almeno dal 2023, DeceptiveDevelopment è un gruppo allineato alla Corea del Nord dedito al furto di criptovalute. Colpisce sviluppatori software che operano su tutti i principali sistemi operativi – Windows, Linux e macOS – con un focus particolare su progetti di criptovaluta e Web3. L’accesso iniziale viene ottenuto attraverso tecniche di social engineering, tra cui ClickFix e l’uso di falsi profili di recruiter, simili a quelli già impiegati dal gruppo Lazarus nell’operazione DreamJob, con cui vengono distribuiti pacchetti di codice contenenti trojan durante interviste simulate. I payload più ricorrenti sono gli infostealer BeaverTail, OtterCookie e WeaselStore, oltre alla backdoor modulare InvisibleFerret RAT.
“Gli operatori di DeceptiveDevelopment usano falsi profili di recruiter sui social media, in maniera analoga all’operazione DreamJob del gruppo Lazarus. In questo caso, però, prendono di mira specificamente sviluppatori software, spesso coinvolti in progetti crypto, fornendo loro pacchetti di codice contenenti trojan che installano backdoor come parte di un falso processo di selezione”, spiega Peter Kálnai, co-autore del white paper. “Gli attori dietro queste operazioni rinunciano a una sofisticazione tecnica estrema per privilegiare un’operatività su larga scala e un social engineering molto creativo. Il loro malware è relativamente semplice, ma riescono comunque a colpire anche target esperti”, aggiunge Kálnai.
Gli attaccanti adottano diversi metodi per compromettere le vittime, sfruttando espedienti di social engineering. Tramite profili falsi o compromessi, si fingono recruiter su piattaforme come LinkedIn, Upwork, Freelancer.com e Crypto Jobs List, proponendo offerte di lavoro allettanti. Alle vittime viene richiesto di svolgere una sfida di programmazione o un compito preliminare al colloquio.
Oltre ai falsi profili, gli attaccanti hanno adattato e perfezionato la tecnica ClickFix. Le vittime vengono indirizzate a un sito per colloqui fasullo e invitate a compilare un modulo dettagliato, che richiede tempo ed energie. Alla fine del processo, viene chiesto loro di registrare una risposta video, ma il sito mostra un errore della videocamera e propone un link “How to fix”. Seguendo le istruzioni, le vittime aprono un terminale e copiano un comando che, invece di risolvere il presunto problema, scarica ed esegue malware sul dispositivo.
Sebbene lo studio su DeceptiveDevelopment si basi soprattutto sui dati di telemetria ESET e sull’analisi tecnica del toolset del gruppo, emergono collegamenti con le operazioni fraudolente condotte da operatori IT nordcoreani. Secondo l’FBI, questa campagna è attiva almeno dal 2017 ed è diventata sempre più rilevante. In un comunicato congiunto del maggio 2022 viene descritta come un’operazione coordinata da operatori allineati alla Corea del Nord per ottenere impieghi in aziende estere, con stipendi destinati a finanziare il regime. Inoltre, in un annuncio del gennaio 2025, l’FBI ha segnalato casi di furto di dati aziendali interni, successivamente usati per estorsioni.
Dall’analisi di dati OSINT, CV falsi e altri materiali, ESET Research ha rilevato che questi operatori mirano soprattutto al mercato statunitense, ma negli ultimi tempi l’attenzione si è spostata anche sull’Europa, con obiettivi in Francia, Polonia, Ucraina e Albania. Questi profili utilizzano l’AI per svolgere attività lavorative, manipolare foto per CV e profili, e perfino effettuare face swap in tempo reale durante colloqui video, assumendo le sembianze dell’identità usata. Sfruttano piattaforme come Zoom, MiroTalk, FreeConference e Microsoft Teams per portare avanti diverse tecniche di social engineering. Il proxy interviewing rappresenta un rischio significativo per le aziende, poiché l’assunzione di personale illegittimo proveniente da paesi sottoposti a sanzioni non solo può ridurre le performance, ma può anche tradursi in una grave minaccia interna.
“Le attività degli operatori IT nordcoreani configurano una minaccia ibrida. Questo schema fraudolento su commissione combina pratiche criminali classiche, come il furto d’identità e la creazione di identità sintetiche, con strumenti digitali, collocandosi a metà tra criminalità tradizionale e cybercrime”, osserva Kálnai.
Il white paper “DeceptiveDevelopment: From primitive crypto theft to sophisticated AI-based deception” ripercorre l’evoluzione dei due principali toolset del gruppo, InvisibleFerret e BeaverTail. Mette inoltre in evidenza collegamenti tra la backdoor Tropidoor e il RAT PostNapTea, già utilizzato dal gruppo Lazarus. Analizza nel dettaglio anche TsunamiKit e WeaselStore, i nuovi toolkit di DeceptiveDevelopment, documentando il funzionamento di un server C&C WeaselStore e della relativa API.
