Một sự hợp tác tinh vi giữa các nhà điều hành mã độc liên kết với Triều Tiên và các nhân viên IT làm việc bí mật đang nhắm mục tiêu vào các tổ chức doanh nghiệp trên toàn cầu. Sự kết hợp này hình thành một mối đe dọa mạng lai, pha trộn công cụ trộm cắp thông tin với các kế hoạch tuyển dụng gian lận, được chi tiết trong một tài liệu mới trình bày tại Virus Bulletin 2025.
Nghiên cứu làm sáng tỏ hoạt động đan xen của tập đoàn tội phạm mạng DeceptiveDevelopment và nhóm hoạt động WageMole, tạo ra một thách thức an ninh mạng phức tạp cho các tổ chức trên toàn thế giới.
DeceptiveDevelopment: Chiến dịch Kỹ thuật Xã hội và Mã độc
DeceptiveDevelopment đã hoạt động từ ít nhất năm 2023, tập trung vào lợi ích tài chính thông qua các chiến thuật kỹ thuật xã hội. Các đối tượng tấn công giả dạng nhà tuyển dụng trên các nền tảng phổ biến như LinkedIn, Upwork và Freelancer.
Chúng dụ dỗ các nhà phát triển phần mềm bằng các lời mời làm việc giả mạo và những thử thách viết mã. Mục tiêu chính là khiến nạn nhân tải xuống mã độc hại.
Các Biến thể Mã độc và Chức năng
Khi nạn nhân tải xuống mã bị trojan hóa từ các kho lưu trữ GitHub riêng tư hoặc Bitbucket, mã độc BeaverTail sẽ được kích hoạt. BeaverTail là một infostealer được thiết kế để đánh cắp các ví tiền điện tử, thông tin đăng nhập trình duyệt và dữ liệu keychain.
Các biến thể của BeaverTail bao gồm OtterCookie, một phiên bản dựa trên JavaScript tiên tiến hơn, và InvisibleFerret. InvisibleFerret là một RAT (Remote Access Trojan) dạng mô-đun dựa trên Python, cung cấp các khả năng điều khiển từ xa, ghi lại thao tác bàn phím và đánh cắp dữ liệu clipboard.
Vào giữa năm 2024, DeceptiveDevelopment đã giới thiệu WeaselStore, một infostealer đa nền tảng được viết bằng Go và Python. Mã độc này được phân phối dưới dạng mã nguồn cộng với các tệp nhị phân môi trường Go.
Sau khi được nạn nhân xây dựng và thực thi, WeaselStore không chỉ trích xuất dữ liệu nhạy cảm mà còn duy trì liên lạc liên tục với máy chủ Command-and-Control (C2) của nó, đảm bảo sự dai dẳng trong hệ thống bị xâm nhập.
Đến cuối năm 2024, DeceptiveDevelopment tiếp tục công bố TsunamiKit. Đây là một bộ công cụ phần mềm gián điệp và khai thác tiền điện tử phức tạp được phát triển bằng .NET. Các thành phần của TsunamiKit bao gồm TsunamiLoader, TsunamiInjector, TsunamiHardener, TsunamiInstaller và TsunamiClient.
Những thành phần này hoạt động phối hợp để cài đặt các công cụ khai thác tiền điện tử XMRig và NBMiner, đồng thời thực hiện các kỹ thuật để né tránh sự phát hiện của các hệ thống an ninh mạng.
Liên kết với Nhóm APT Lazarus
Các nhà nghiên cứu đã phát hiện ra Tropidoor, một trình tải xuống DLL 64-bit dành cho Windows, chia sẻ một lượng đáng kể mã nguồn với backdoor PostNapTea của nhóm Lazarus. Đây là một APT (Advanced Persistent Threat) liên kết với nhà nước Triều Tiên, cho thấy sự chồng chéo trong các hoạt động tấn công mạng.
Các kỹ thuật giải quyết API tinh vi, quy trình mã hóa và triển khai lệnh của Tropidoor mang dấu ấn chuyên môn của nhóm Lazarus. Điều này gợi ý sự tái sử dụng mã và hợp tác giữa các tác nhân tội phạm mạng và các nhóm tập trung vào hoạt động gián điệp, làm tăng thêm mức độ nguy hiểm của mối đe dọa mạng này. Thông tin chi tiết về các hoạt động của DeceptiveDevelopment và liên kết với các chiến dịch tấn công phức tạp có thể được tìm thấy trong báo cáo của ESET: DeceptiveDevelopment: From primitive crypto theft to sophisticated AI-based deception.
WageMole: Chiếm đoạt Danh tính và Rò rỉ Dữ liệu
Song song với các hoạt động mã độc, các nhân viên IT bí mật của Triều Tiên, được gọi chung là nhóm WageMole, đã xâm nhập vào quy trình tuyển dụng của các công ty. Từ ít nhất năm 2017, các cá nhân bị trừng phạt này đã giả danh nhân viên từ xa và có được vị trí tại các công ty nước ngoài.
Mục đích chính của họ là chuyển tiền lương để tài trợ cho chế độ DPRK. Các đối tượng này sử dụng nhiều kỹ thuật tinh vi để vượt qua các vòng sàng lọc nhân sự.
Kỹ thuật Giả mạo Danh tính và Đánh cắp Dữ liệu
Các nhân viên WageMole sử dụng danh tính bị đánh cắp, người phỏng vấn ủy quyền (proxy interviewers) và danh tính tổng hợp được tạo bằng AI để vượt qua quá trình kiểm tra. Họ thao túng ảnh hồ sơ, làm giả CV và thậm chí sử dụng công nghệ hoán đổi khuôn mặt (face-swapping) theo thời gian thực trong các cuộc phỏng vấn video.
Một khi đã được tuyển dụng và làm việc bên trong công ty, họ bắt đầu rò rỉ dữ liệu nội bộ hoặc đánh cắp thông tin nhạy cảm. Dữ liệu này sau đó được sử dụng cho mục đích tống tiền hoặc gián điệp, gây ra rủi ro bảo mật nghiêm trọng cho các tổ chức.
Điểm Giao thoa: Mã độc và Lừa đảo Việc làm
Nghiên cứu tình báo nguồn mở (OSINT) đã tiết lộ mối quan hệ giao dịch giữa DeceptiveDevelopment và WageMole. Các hồ sơ tuyển dụng giả mạo và các nhân vật IT worker thường xuyên chia sẻ tài khoản email, lượt theo dõi lẫn nhau và các kho mã nguồn.
Dữ liệu GitHub công khai và lời khai của nạn nhân đã cung cấp thông tin chi tiết về lịch trình làm việc của nhân viên IT, giao tiếp với khách hàng và định mức công việc. Những thông tin này đôi khi được các nhà nghiên cứu độc lập và các nhà điều tra trên mạng xã hội tiết lộ.
Các tài liệu này cho thấy các nhóm có trụ sở tại Trung Quốc, Nga và Đông Nam Á làm việc tới 16 giờ mỗi ngày cho các nhiệm vụ từ xa. Các lĩnh vực bao gồm blockchain, phát triển web và tích hợp AI. Điều này chứng minh sự phối hợp chặt chẽ giữa hai nhóm để tạo ra một mối đe dọa mạng thống nhất.
Tác động của Mối đe dọa Lai và An ninh mạng
Sự hội tụ của các hoạt động mã độc dựa trên kỹ thuật xã hội của DeceptiveDevelopment và các chương trình lừa đảo tuyển dụng của WageMole tạo thành một mối đe dọa mạng lai nguy hiểm. Bộ công cụ của DeceptiveDevelopment, vốn có khối lượng lớn và mức độ tinh vi ban đầu thấp, được khuếch đại bởi các chiến dịch được vận hành bởi con người của nhóm WageMole.
Điều này làm mờ ranh giới giữa tội phạm mạng và gián điệp, tạo ra một thách thức phức tạp cho các chuyên gia an ninh mạng trong việc đối phó với các chiến dịch tấn công mạng ngày càng tinh vi. Phỏng vấn ủy quyền đặt ra một rủi ro bảo mật mới: các tổ chức vô tình thuê các ứng viên bị xâm nhập có thể đối mặt với các mối đe dọa nội bộ.
Những mối đe dọa này kết hợp các đặc quyền truy cập với ý đồ độc hại, dẫn đến nguy cơ cao về rò rỉ dữ liệu và các hình thức xâm nhập khác. Để đối phó với điều này, các đội ngũ bảo mật cần thích ứng các mô hình phòng thủ của mình.
Chiến lược Phòng thủ và Tăng cường An ninh mạng
Các nhà phòng thủ phải thích nghi với bối cảnh đang phát triển này bằng cách tích hợp quy trình kiểm tra tuyển dụng vào các mô hình mối đe dọa của họ. Để tăng cường an ninh mạng, các đội bảo mật nên thực hiện các biện pháp sau:
- Rà soát Hồ sơ Mạng xã hội: Kiểm tra kỹ lưỡng các hồ sơ mạng xã hội của ứng viên để phát hiện bất kỳ sự mâu thuẫn hoặc dấu hiệu đáng ngờ nào.
- Xác minh Đóng góp Mã nguồn: Xác minh đóng góp mã nguồn và danh mục đầu tư của ứng viên dựa trên thông tin tình báo nguồn mở (OSINT).
- Kiểm tra Danh tính Toàn diện: Thực hiện các quy trình xác minh danh tính và kiểm tra lý lịch nghiêm ngặt, bao gồm cả việc xác minh các tài liệu được cung cấp.
- Phân tích Hành vi: Triển khai các công cụ phân tích hành vi để phát hiện các hoạt động bất thường của nhân viên sau khi tuyển dụng, đặc biệt là truy cập vào các dữ liệu nhạy cảm.
Sự hợp tác giữa DeceptiveDevelopment và WageMole nhấn mạnh sự cần thiết của nhận thức về hệ sinh thái rộng hơn. Các biện pháp phòng thủ truyền thống tập trung vào bảo mật vành đai không thể giải quyết đầy đủ các mối đe dọa mạng lợi dụng quy trình làm việc của con người và việc làm gian lận.
Một phương pháp tiếp cận toàn diện, kết hợp các kiểm soát kỹ thuật, chia sẻ thông tin threat intelligence và hợp tác chặt chẽ với bộ phận HR, là điều cần thiết. Điều này giúp ngăn chặn mối đe dọa mạng lai đang nổi lên, đảm bảo an ninh mạng vững chắc hơn cho tổ chức.
