Các đối tượng vận hành mã độc liên kết với Triều Tiên đã thiết lập một mối quan hệ đối tác tinh vi với các nhân viên IT ngầm để nhắm mục tiêu vào các tổ chức doanh nghiệp trên toàn cầu. Sự hợp tác này tạo ra một mối đe dọa mạng lai, kết hợp công cụ đánh cắp thông tin với các kế hoạch lừa đảo việc làm.
Mối đe dọa lai này được phân tích chi tiết trong một báo cáo mới trình bày tại Virus Bulletin 2025. Nó làm sáng tỏ hoạt động đan xen của nhóm tội phạm mạng DeceptiveDevelopment và cụm hoạt động WageMole.
Phân tích DeceptiveDevelopment: Chiến dịch Kỹ thuật Xã hội và Công cụ Mã độc
DeceptiveDevelopment đã hoạt động ít nhất từ năm 2023, tập trung vào lợi ích tài chính thông qua kỹ thuật xã hội. Các đối tượng của nhóm này giả mạo làm nhà tuyển dụng trên các nền tảng như LinkedIn, Upwork và Freelancer.
Chúng dụ dỗ các nhà phát triển phần mềm bằng các lời mời làm việc giả mạo và thử thách lập trình, một hình thức tấn công mạng tinh vi.
BeaverTail Infostealer và Biến thể
Các nạn nhân tải về mã trojan hóa từ các kho lưu trữ GitHub riêng tư hoặc Bitbucket. Điều này kích hoạt BeaverTail, một công cụ đánh cắp thông tin (infostealer).
BeaverTail đánh cắp ví tiền điện tử, thông tin đăng nhập trình duyệt và dữ liệu keychain. Các biến thể của BeaverTail bao gồm:
- OtterCookie: Một biến thể dựa trên JavaScript.
- InvisibleFerret: Một RAT (Remote Access Trojan) dạng mô-đun dựa trên Python, cung cấp khả năng điều khiển từ xa, ghi nhật ký gõ phím (keylogging) và đánh cắp dữ liệu clipboard.
WeaselStore: Infostealer Đa Nền tảng
Vào giữa năm 2024, DeceptiveDevelopment đã giới thiệu WeaselStore. Đây là một infostealer đa nền tảng được viết bằng Go và Python.
WeaselStore được phân phối dưới dạng mã nguồn kèm các binary môi trường Go. Khi nạn nhân biên dịch và thực thi, WeaselStore không chỉ trích xuất dữ liệu nhạy cảm mà còn duy trì liên lạc liên tục với máy chủ lệnh và kiểm soát (C2) của nó.
TsunamiKit: Spyware và Khai thác Tiền điện tử
Cuối năm 2024, DeceptiveDevelopment công bố TsunamiKit. Đây là một bộ công cụ spyware và khai thác tiền điện tử phức tạp dựa trên .NET.
Các thành phần của TsunamiKit bao gồm TsunamiLoader, TsunamiInjector, TsunamiHardener, TsunamiInstaller và TsunamiClient. Chúng hoạt động phối hợp để cài đặt các công cụ đào tiền điện tử XMRig và NBMiner, đồng thời né tránh sự phát hiện.
Liên kết với APT Lazarus qua Tropidoor
Nghiên cứu sâu hơn đã liên kết DeceptiveDevelopment với các nhóm APT liên kết với nhà nước Triều Tiên. Các nhà nghiên cứu phát hiện ra Tropidoor, một trình tải xuống DLL 64-bit cho Windows, có mã nguồn tương đồng đáng kể với backdoor PostNapTea của nhóm Lazarus.
Các cơ chế giải quyết API tinh vi, quy trình mã hóa và triển khai lệnh của Tropidoor mang dấu ấn chuyên môn của nhóm Lazarus, cho thấy sự tái sử dụng mã và sự hợp tác giữa các tác nhân tội phạm mạng và gián điệp. Để biết thêm thông tin về các hoạt động của nhóm Lazarus, bạn có thể tham khảo báo cáo chi tiết của ESET.
Nhóm WageMole: Mối đe dọa Từ Lao động IT Ngầm và Chiếm Quyền Điều Khiển
Song song với các hoạt động mã độc, các nhân viên IT ngầm của Triều Tiên – được gọi chung là cụm WageMole – đã xâm nhập vào quy trình tuyển dụng của các công ty.
Từ ít nhất năm 2017, những cá nhân bị trừng phạt đã giả mạo làm nhân viên từ xa, đảm bảo các vị trí tại các công ty nước ngoài. Họ dùng lương để tài trợ cho chính quyền Triều Tiên.
Những nhân viên này sử dụng danh tính đánh cắp, người phỏng vấn ủy quyền và danh tính tổng hợp được tạo bởi AI để vượt qua các vòng sàng lọc. Họ thao túng ảnh hồ sơ, làm giả CV và thậm chí sử dụng công nghệ deepfake trong các cuộc phỏng vấn video.
Một khi đã thâm nhập, họ đánh cắp dữ liệu nội bộ để tống tiền hoặc gián điệp, gây ra rủi ro nghiêm trọng cho an ninh mạng của các tổ chức.
Sự Hội Tụ của DeceptiveDevelopment và WageMole
Nghiên cứu OSINT đã tiết lộ mối liên hệ giao dịch giữa DeceptiveDevelopment và WageMole. Các hồ sơ tuyển dụng giả mạo và persona của nhân viên IT thường chia sẻ tài khoản email, lượt theo dõi chung và kho mã nguồn.
Dữ liệu GitHub được công khai và lời khai của nạn nhân cho thấy lịch trình làm việc của nhân viên IT, giao tiếp với khách hàng và định mức công việc. Các tài liệu này cho thấy các nhóm có trụ sở tại Trung Quốc, Nga và Đông Nam Á làm việc tới 16 giờ mỗi ngày cho các dự án từ xa trong blockchain, phát triển web và tích hợp AI.
Sự hội tụ của mã độc dựa trên kỹ thuật xã hội và các kế hoạch gian lận việc làm tạo thành một mối đe dọa mạng lai. Bộ công cụ có khối lượng lớn, mức độ tinh vi thấp của DeceptiveDevelopment được khuếch đại bởi các chiến dịch nhân sự do con người điều khiển của nhóm WageMole. Điều này làm mờ ranh giới giữa tội phạm mạng và gián điệp.
Phỏng vấn ủy quyền đặt ra một rủi ro mới: các tổ chức vô tình tuyển dụng các ứng viên bị xâm nhập có thể đối mặt với các mối đe dọa mạng nội bộ. Những mối đe dọa này kết hợp các đặc quyền truy cập với ý đồ độc hại.
Các Chỉ Dẫn Phòng Chống và An Ninh Mạng
Các tổ chức cần thích nghi với bối cảnh này bằng cách tích hợp quy trình kiểm tra tuyển dụng vào các mô hình đe dọa của mình.
Một cách tiếp cận toàn diện – kết hợp kiểm soát kỹ thuật, chia sẻ thông tin về mối đe dọa mạng và hợp tác với bộ phận Nhân sự – là điều cần thiết để ngăn chặn mối nguy hiểm lai này.
Khuyến nghị cho Đội ngũ Bảo mật
Để đối phó với mối tấn công mạng này, các đội ngũ bảo mật nên thực hiện các biện pháp sau:
- Triển khai xác thực đa yếu tố (MFA) trên tất cả các tài khoản doanh nghiệp.
- Giám sát chặt chẽ quyền truy cập vào các hệ thống đặc quyền và dữ liệu nhạy cảm.
- Phân đoạn mạng để hạn chế sự lây lan của mã độc trong trường hợp bị xâm nhập.
- Đánh giá kỹ lưỡng các ứng viên IT bên ngoài, bao gồm kiểm tra hồ sơ công khai và danh tiếng của họ.
- Tăng cường kiểm tra lý lịch, tham chiếu và xác minh bằng cấp của ứng viên.
- Sử dụng các công cụ và kỹ thuật chống deepfake trong các cuộc phỏng vấn từ xa để phát hiện danh tính giả mạo.
