Negli ultimi mesi, i gruppi di hacker legati alla Corea del Nord hanno intensificato le loro attività cybercriminali, sfruttando nuove tattiche di ingegneria sociale per diffondere malware nel settore delle criptovalute e del retail. In particolare, è stata osservata una campagna che utilizza la tecnica ClickFix per distribuire il malware BeaverTail e il backdoor InvisibleFerret, con un focus diverso rispetto alle strategie tradizionali: invece di colpire sviluppatori software, i bersagli sono diventati trader e ruoli di marketing nel settore crypto.

BeaverTail e InvisibleFerret: strumenti consolidati

BeaverTail e InvisibleFerret, già individuati nel 2023, sono strumenti consolidati dell’arsenale nordcoreano, utilizzati spesso in campagne di phishing che si presentano come offerte di lavoro nel mondo crypto. Questi malware sono capaci di sottrarre informazioni sensibili e scaricare ulteriori payload dannosi, rappresentando una minaccia concreta per chiunque operi nel settore.

Nuove tecniche e vettori di attacco

Una delle novità più rilevanti di questa ondata di attacchi è l’uso di binari compilati tramite strumenti come pkg e PyInstaller, rendendo BeaverTail eseguibile su Windows, macOS e Linux. Un finto sito di recruiting, creato su Vercel, viene usato per attrarre le vittime: dopo aver simulato una finta video-intervista, viene richiesto di eseguire un comando specifico per risolvere un inesistente errore tecnico, scatenando così l’installazione del malware.

Questa variante di BeaverTail mostra un comportamento più “snello”, con una riduzione delle estensioni browser bersaglio (solo 8 rispetto alle 22 solite) e la rimozione di funzioni per rubare dati da browser diversi da Chrome. Inoltre, la versione Windows sfrutta archivi protetti da password per caricare le dipendenze Python del backdoor InvisibleFerret, una tecnica mai vista prima con BeaverTail e segno dell’evoluzione delle tattiche degli attaccanti.

Bersagli e risultati della campagna

Le indagini hanno rivelato che la campagna ha colpito almeno 230 persone tra gennaio e marzo 2025, simulando colloqui di lavoro presso note società crypto. Il malware, adattato al sistema operativo della vittima, monitora le attività e invia alert agli attaccanti non appena la vittima inizia il finto assessment.

Sofisticazione crescente e nuovi strumenti

Queste strategie dimostrano la crescente sofisticazione degli attacchi nordcoreani, che ora includono anche ransomware come VCD e nuovi tool realizzati in Rust, oltre a phishing tramite deepfake e abusi di infrastrutture affidabili come GitHub. L’obiettivo resta quello di sottrarre dati, fondi e informazioni strategiche, rinnovando costantemente le infrastrutture usate per sfuggire alle contromisure difensive.