توماس دانیلز
در یک کمپین پیچیده جاسوسی سایبری، گروه لازاروس کره شمالی سه شرکت صوری - BlockNovas LLC، SoftGlide LLC و Angeloper Agency - تأسیس کرده است تا بدافزارهایی را که توسعهدهندگان ارزهای دیجیتال را هدف قرار میدهند، توزیع کند. دو مورد از این نهادها، BlockNovas و SoftGlide، به طور قانونی در ایالات متحده با استفاده از اسناد جعلی ثبت شدهاند که نقض تحریمهای بینالمللی است.
این کمپین که توسط تحلیلگران امنیت سایبری در Silent Push «مصاحبه مسری» نامگذاری شده است، شامل ایجاد شرکتهای مشاوره جعلی کریپتو برای فریب توسعهدهندگان به مصاحبههای شغلی جعلی است. در طول این مصاحبهها، از متقاضیان خواسته میشود ویدیوهای معرفی ضبط کنند. پس از مواجهه با یک پیام خطای عمدی، به آنها یک «راه حل» کپی-پیست داده میشود که مخفیانه بدافزار نصب میکند.
سه گونهی متمایز - BeaverTail، InvisibleFerret و OtterCookie - مستقر شدهاند. BeaverTail در درجهی اول امکان استقرار بیشتر بدافزار و سرقت اطلاعات را فراهم میکند، در حالی که InvisibleFerret و OtterCookie برای استخراج دادههای حساس، از جمله کلیدهای خصوصی و محتوای کلیپبورد، طراحی شدهاند.
زک ادواردز، تحلیلگر ارشد تهدیدات سایبری در شرکت Silent Push، تأکید کرد که این عملیاتها بخشی از تلاشهای گستردهتر کره شمالی برای کسب درآمد از طریق سرقت سایبری است که ظاهراً برای حمایت از برنامه تسلیحات هستهای این کشور انجام میشود. افبیآی با توقیف دامنه مرتبط با BlockNovas اقدامی انجام داده است، اگرچه سایر زیرساختها، از جمله SoftGlide، همچنان عملیاتی هستند.
این عملیات مداوم که اولین بار به سال ۲۰۲۴ برمیگردد، تاکنون چندین قربانی شناختهشده داشته است. حداقل یک توسعهدهنده گزارش داده است که کیف پول MetaMask او به خطر افتاده است. در همین حال، دیگران تلاشهای مربوط به تماسهای جعلی Zoom را که توسط کلاهبردارانی که خود را به عنوان کارفرمای بالقوه معرفی میکردند، سازماندهی شده بود، خنثی کردهاند.
گروه لازاروس همچنان مظنون اصلی برخی از بزرگترین سرقتهای سایبری در فضای وب ۳، از جمله نفوذ ۶۰۰ میلیون دلاری به شبکه رونین و حمله ۱.۴ میلیارد دلاری بایبیت، است.
