Gli hacker nordcoreani prendono di mira le criptovalute con aziende e offerte di lavoro false

I ricercatori della società di cybersecurity Silent Push hanno scoperto una campagna sofisticata da parte del gruppo di minaccia persistente avanzata (APT) nordcoreano noto come Contagious Interview (alias “Famous Chollima”), un sottogruppo all’interno del noto Lazarus Group.

Questa operazione ha coinvolto la creazione di false aziende di criptovalute negli Stati Uniti e l’uso di tattiche ingannevoli per colloqui di lavoro per distribuire malware e infiltrarsi nelle organizzazioni.

Risultati chiave

Secondo Silent Push, gli hacker hanno stabilito tre aziende frontali di criptovalute — BlockNovas LLC nel New Mexico, Angeloper Agency e SoftGlide LLC a New York, utilizzando identità e indirizzi falsi. Angeloper Agency rimane non registrata negli Stati Uniti.

“In questa nuova campagna, il gruppo di attori della minaccia sta utilizzando tre aziende frontali nel settore della consulenza sulle criptovalute—BlockNovas LLC (blocknovas[.] com), Angeloper Agency (angeloper[.]com) e SoftGlide LLC (softglide[.]co)—per diffondere malware tramite ‘lusinghe di colloqui di lavoro,” ha dichiarato Silent Push in un dettagliato post sul blog.

Queste entità, che si spacciavano per legittime aziende di consulenza sulle criptovalute, sono state create per attirare i cercatori di lavoro nel settore delle criptovalute a scaricare malware, compromettere portafogli crypto e rubare credenziali.

Oltre alle aziende false, i candidati sono stati presi di mira attraverso annunci di lavoro contraffatti e profili in stile LinkedIn, durante i quali sono stati ingannati nel scaricare file contenenti malware travestiti da materiali di candidatura o documenti di onboarding.

I tre ceppi di malware identificati in questa campagna sono BeaverTail, InvisibleFerret e OtterCookie, che erano precedentemente legati a unità informatiche nordcoreane. Questi programmi potrebbero rubare dati, fornire accesso backdoor ai sistemi infetti e servire come punti di ingresso per attacchi successivi utilizzando spyware o ransomware aggiuntivi.

Secondo Silent Push, Blocknovas, la più attiva delle tre aziende frontali, è stata sequestrata dall’FBI (Federal Bureau of Investigation) degli Stati Uniti il 23 aprile 2025. L’avviso pubblicato sul sito afferma che il sito è stato chiuso “nell’ambito di un’azione di enforcement contro attori informatici nordcoreani che hanno utilizzato questo dominio per ingannare le persone con annunci di lavoro falsi e distribuire malware.”

Oltre a utilizzare servizi come Astrill VPN e proxy residenziali per offuscare la loro infrastruttura e attività, la campagna Contagious Interview ha anche impiegato strumenti di intelligenza artificiale, come “Remaker AI” (remaker[.]ai), per creare profili convincenti di falsi dipendenti per le tre aziende frontali di criptovalute al fine di aumentare la credibilità di queste aziende fraudolente.

Infine, come parte degli attacchi alle criptovalute, la campagna ha utilizzato ampiamente piattaforme come GitHub, siti di annunci di lavoro e siti web per freelance per raggiungere potenziali vittime e distribuire software dannoso.

Implicazioni e raccomandazioni

Poiché le minacce informatiche nordcoreane continuano a evolversi, le organizzazioni, in particolare nel settore delle criptovalute, questa campagna sottolinea la necessità di una maggiore vigilanza nelle pratiche di cybersecurity, specialmente nel settore delle criptovalute e durante il processo di assunzione.

Per proteggersi da questi attacchi sofisticati, le organizzazioni dovrebbero implementare processi di verifica rigorosi per i candidati, inclusi colloqui di persona o video e controlli approfonditi, e educare i dipendenti sui rischi delle offerte di lavoro e dei colloqui non richiesti.

Per un’analisi dettagliata di questa campagna, puoi consultare il rapporto completo di Silent Push: Contagious Interview Front Companies.