Il confine tra criminalità informatica e spionaggio di stato si assottiglia sempre di più, soprattutto quando si tratta delle operazioni nordcoreane. Quello che inizialmente appariva come un semplice schema di frode occupazionale si è evoluto in un'operazione sofisticata che combina il furto di identità, l'infiltrazione aziendale e l'impiego di malware avanzati. Gli ultimi sviluppi mostrano come i gruppi legati alla Corea del Nord stiano perfezionando le loro tecniche, utilizzando strumenti sempre più raffinati per penetrare nelle aziende occidentali del settore tecnologico.
L'evoluzione degli strumenti di attacco
I ricercatori ESET Peter Kálnai e Matěj Havránek hanno identificato connessioni inedite tra il malware utilizzato dal gruppo DeceptiveDevelopment e il noto Lazarus Group di Pyongyang. In particolare, il backdoor Tropidoor condivide ampie porzioni di codice con PostNapTea RAT, lo strumento che Lazarus aveva impiegato contro obiettivi sudcoreani nel 2022. Questa scoperta rappresenta un salto qualitativo significativo nelle capacità offensive del gruppo.
DeceptiveDevelopment, attivo almeno dal 2023, si sovrappone alle campagne Contagious Interview e WageMole, oltre al gruppo che CrowdStrike identifica come Famous Chollima. La loro strategia si basa sull'ingannare sviluppatori software, particolarmente quelli coinvolti in progetti di criptovalute, attraverso profili falsi sui social media che mimano le tecniche dell'Operation Dream Job di Lazarus.
Dal furto di identità all'estorsione aziendale
Il processo orchestrato da questi criminali informatici segue uno schema ben definito ma articolato. Inizialmente, i malintenzionati si fingono selezionatori del personale, utilizzando tecniche di social engineering come ClickFix per indurre le vittime a seguire istruzioni fasulle, inclusi falsi CAPTCHA. Durante questi finti colloqui, infettano i computer delle vittime con codebase trojane.
Le informazioni, le identità e tutti i dati rubati durante questo processo vengono poi trasferiti ai lavoratori IT nordcoreani che cercano impiego presso aziende occidentali. Questi dati rubati permettono loro di superare i colloqui di lavoro utilizzando le risposte delle vittime precedenti.
Ma lo schema non si ferma al semplice ottenimento di un impiego fraudolento. In alcuni casi, i truffatori sfruttano il loro accesso privilegiato per rubare codice sorgente proprietario, per poi ricattare i datori di lavoro minacciando di divulgare dati aziendali sensibili se non viene pagato un riscatto.
Arsenal malware sempre più sofisticato
L'arsenale tradizionale di DeceptiveDevelopment comprende BeaverTail e InvisibleFerret, entrambi script relativamente semplici ma offuscati. BeaverTail funziona come infostealer e downloader, raccogliendo dati dai portafogli di criptovalute, dai portachiavi e dalle credenziali salvate nei browser. I ricercatori hanno osservato varianti di questo malware scritte sia in JavaScript, nascoste in false sfide lavorative, sia in C++ utilizzando il framework Qt, camuffate da software per videoconferenze.
InvisibleFerret rappresenta invece un malware modulare basato su Python con capacità di furto di informazioni e controllo remoto. Alla fine del 2024 è apparso OtterCookie, uno stealer simile a BeaverTail che si ritiene sia un'evoluzione utilizzata da alcuni team di DeceptiveDevelopment.
TsunamiKit: quando il crimine incontra l'innovazione
Nel novembre 2024, DeceptiveDevelopment ha iniziato a utilizzare una nuova versione di InvisibleFerret con un modulo modificato per il furto di dati del browser. Questo modulo contiene un toolkit completamente nuovo che ESET ha denominato TsunamiKit, basandosi sull'uso del termine "Tsunami" nei nomi di tutti i suoi componenti.
TsunamiKit è progettato per rubare informazioni e criptovalute attraverso una catena di esecuzione che include multiple fasi di dropper e installer scritti in Python e .NET, oltre a un proxy per la rete Tor, coinminer e il payload spyware finale in .NET. Tuttavia, i ricercatori hanno scoperto che campioni di TsunamiKit erano stati caricati su VirusTotal già nel dicembre 2021, indicando che questo toolkit esisteva molto prima dell'inizio delle attività di DeceptiveDevelopment.
"Concludiamo che TsunamiKit è probabilmente una modifica di un progetto del dark web piuttosto che una nuova creazione degli attaccanti", hanno scritto i due ricercatori, sottolineando come il mining di criptovalute sia una caratteristica centrale di questo strumento, suggerendo origini diverse dalle operazioni di spionaggio tradizionali.
Un ecosistema di minacce in evoluzione
Questo scenario evidenzia come le tattiche dual-use della Corea del Nord combinino tipicamente il furto informatico e lo spionaggio digitale con schemi di frode occupazionale nel mondo fisico. Tuttavia, anche altri attori sostenuti da governi di Russia, Cina e Iran si stanno spostando verso il business dei ransomware, creando un panorama delle minacce sempre più complesso.
Come sottolineano Kálnai e Havránek, tutto questo "sottolinea la necessità per i difensori di considerare ecosistemi di minacce più ampi piuttosto che campagne isolate". La crescente sovrapposizione tra criminalità informatica organizzata e operazioni di stato richiede nuovi approcci alla cybersecurity che tengano conto di questa convergenza strategica.