I gruppi di hacker collegati alla Corea del Nord continuano a rappresentare una seria minaccia per il settore delle criptovalute e per gli sviluppatori software a livello globale. Recentemente, è stato scoperto un nuovo malware chiamato AkdoorTea, utilizzato nell’ambito della campagna Contagious Interview. Questa operazione viene condotta dal gruppo noto come DeceptiveDevelopment e prende di mira sviluppatori che operano su sistemi Windows, Linux e macOS, con particolare attenzione a chi lavora in ambito crypto e Web3.
Gli attacchi iniziano spesso con offerte di lavoro apparentemente legittime su piattaforme come LinkedIn, Upwork o Freelancer. Una volta che la vittima mostra interesse, viene invitata a sostenere un video colloquio o a svolgere una prova di programmazione che richiede di clonare progetti da GitHub. In realtà, questi progetti installano malware in modo silente. In alternativa, le vittime vengono guidate attraverso delle istruzioni per risolvere falsi problemi tecnici, che in realtà portano all’esecuzione di script dannosi.
Il toolkit malevolo utilizzato è multi-piattaforma e include script Python e JavaScript offuscati, backdoor scritte in Python e Go, oltre a strumenti come TsunamiKit e Tropidoor. Tra i malware distribuiti si trovano anche BeaverTail, InvisibleFerret, OtterCookie e PylangGhost, tutti progettati principalmente per il furto di dati sensibili da browser e wallet di criptovalute. Una particolarità di alcune di queste minacce è la capacità di mantenere una comunicazione persistente con il server di comando, permettendo l’esecuzione di ulteriori istruzioni da remoto.
TsunamiKit
TsunamiKit, ad esempio, viene distribuito attraverso InvisibleFerret e consente il furto di informazioni e criptovalute. Integra moduli per ottenere la persistenza nel sistema e per configurare esclusioni in Microsoft Defender, facilitando così l’attività dei miner come XMRig e NBMiner. Altri componenti, come Tropidoor e PostNapTea, sono sviluppati per attività di spionaggio più evolute e condividono parti di codice con malware già noti del gruppo Lazarus, rafforzando il legame tra le diverse campagne nordcoreane.
La diffusione di AkdoorTea avviene tramite script batch che scaricano archivi ZIP camuffati da aggiornamenti di driver NVIDIA, un trucco già utilizzato in passato per ingannare le vittime durante i colloqui video. L’intera campagna si basa su tecniche di social engineering raffinate e sfrutta l’ecosistema open source e dark web per adattare rapidamente il proprio arsenale malevolo. Inoltre, si evidenziano sovrapposizioni con le attività di frode lavorativa tramite false identità che hanno permesso a operatori nordcoreani di infiltrarsi presso aziende occidentali fin dal 2017, un fenomeno sempre più diffuso e difficile da identificare.
