Negli ultimi anni il gruppo di cybercriminali nordcoreani BlueNoroff, noto anche come APT38, ha intensificato le sue attività contro il settore Web3 e blockchain con due campagne avanzate denominate GhostCall e GhostHire. Queste operazioni fanno parte di un più ampio schema chiamato SnatchCrypto, attivo almeno dal 2017, e mirano in particolare a colpire dirigenti di aziende tecnologiche, venture capital e sviluppatori Web3.

GhostCall

GhostCall si concentra su dispositivi macOS, soprattutto in Giappone, Italia, Francia, Singapore, Turchia, Spagna, Svezia, India e Hong Kong. Una delle tecniche principali è l’approccio diretto tramite Telegram, dove le vittime vengono invitate a partecipare a finte chiamate di investimento su siti che simulano Zoom. Durante queste chiamate, al posto di deepfake vengono riprodotte registrazioni reali di precedenti vittime, aumentando la credibilità dell’attacco. Il malintenzionato convince poi l’utente a scaricare aggiornamenti falsi per Zoom, che in realtà attivano una catena di infezione tramite file ZIP malevoli.

GhostHire

Al contrario, la campagna GhostHire prende di mira in particolare sviluppatori Web3 in Giappone e Australia. Qui l’attacco inizia con un’offerta di lavoro apparentemente legittima su Telegram, spesso accompagnata da link a profili LinkedIn contraffatti. Le vittime vengono invitate a completare un assessment tecnico entro 30 minuti, scaricando un progetto da GitHub che contiene dipendenze infette. Questa pressione temporale aumenta la probabilità che l’utente esegua senza indugi il codice malevolo.

Malware e tecniche di attacco

Il malware utilizzato in queste campagne è sofisticato e modulare. Nei casi GhostCall, le vittime che cliccano su “Aggiorna ora” scaricano uno script AppleScript (per macOS) o attivano comandi PowerShell (per Windows) che installano applicazioni camuffate da Zoom o Teams ma che permettono agli attaccanti di ottenere credenziali, accedere a gestori di password e installare ulteriori payload come DownTroy, CosmicDoor, RooTroy, RealTimeTroy e altri. Questi componenti permettono di eludere i controlli di sicurezza di macOS, raccogliere dati sensibili da browser, wallet di criptovalute, strumenti di sviluppo e piattaforme cloud.

Uso di intelligenza artificiale e obiettivi evoluti

Un aspetto rilevante è l’uso di intelligenza artificiale generativa per accelerare lo sviluppo del malware e rendere più credibili i profili fittizi utilizzati per il social engineering. La strategia degli attaccanti si è evoluta dal semplice furto di criptovalute alla compromissione di infrastrutture, strumenti collaborativi, ambienti di sviluppo e piattaforme di messaggistica, aumentando così l’impatto potenziale delle intrusioni.