Kuzey Kore ile uyumlu kötü amaçlı yazılım operatörleri, dünya çapında kurumsal kuruluşları hedeflemek için gizli BT çalışanları ile sofistike bir ortaklık kurdu.
Virüs Bülteni 2025’te sunulan yeni bir beyaz makalede ayrıntılı olarak ayrıntılı olarak açıklanan bu işbirliği, siber feferi takımlarını somurtkan istihdam şemalarıyla evlendiren hibrit bir tehdidi ortaya çıkararak, aldatıcı geliştirme siber suç sendikasının ve wagemol aktivite kümesinin iç içe operasyonlarına ışık tutuyor.
En az 2023’ten beri aktif olan aldatıcı geliştirme, sosyal mühendislik yoluyla finansal kazançlara odaklanmaktadır. Operatörleri, LinkedIn, Upwork ve Freelancer gibi platformlarda işe alım görevlisi olarak poz veriyor, yazılım geliştiricilere sahte iş teklifleri ve kodlama zorlukları çekiyor.
Mağdurlar, kripto para cüzdanlarını, tarayıcı kimlik bilgilerini ve anahtarlık verilerini dışarı atan bir infostealer olan Beaverail’i tetikleyerek özel GitHub veya Bitbucket depolarından truva kodlarını indirir.
Beavertail varyantları ayrıca JavaScript tabanlı bir evrim olan Ottercookie ve uzaktan kumanda, keyloglama ve pano çalma özellikleri sunan Python tabanlı bir modüler sıçan olan InvisibleFerret’i de içeriyor.
2024’ün ortalarında, SPEPEDEVEVED, Go ve Python’da yazılmış çok platformlu bir infostealer olan Weaselstore’u kaynak kodu artı GO ortam ikili dosyaları olarak tanıttı.
Kurban tarafından inşa edildikten ve yürütüldüğünde, Weaselstore sadece hassas verileri çıkarmakla kalmaz, aynı zamanda komut ve kontrol sunucusuyla kalıcı iletişimi sürdürür.
2024’ün sonlarında, aldatılmış geliştirme, bileşenleri – Tsunamiloader, Tsunamiinjector, Tsunamiinjector, Tsunamiinjector, Tsunamiinstaller ve Tsunamic -Over -işinde Xmrig ve Nbminer Minasyonlar takmak için uyumlu olan Tsunamikit’i tanıttı.
Aldatın geliştirilmesini Kuzey Kore Devleti-Highed APT’lere bağlayan araştırmacılar, Lazarus Grubu’nun Postnaptea Backdoor ile önemli kod paylaşan 64 bit Windows DLL indiricisi olan Tropidoor’u ortaya çıkardı.
Tropidoor’un sofistike API çözünürlüğü, şifreleme rutinleri ve komuta uygulamaları, Lazarus uzmanlığının ayırt edici özelliğini taşıyor ve Crumaware ve casusluk odaklı aktörler arasında kod yeniden kullanımı ve işbirliği öneriyor.
Bu kötü amaçlı yazılım operasyonlarına paralel olarak, gizli bir şekilde Wagemole kümesi olarak adlandırılan Kuzey Koreli BT işçileri, sızmış kurumsal işe alım süreçlerine sahiptir.
En az 2017’den bu yana, uzak çalışanlar olarak poz veren yaptırımlı bireyler, DPRK rejimini finanse etmek için maaşları yönlendirerek yabancı şirketlerde pozisyonlar verdiler.
Bu işçiler, atlama taraması için çalıntı kimlikler, vekil görüşmeciler ve AI tarafından üretilen sentetik kimlikler kullanırlar.
Profil fotoğraflarını manipüle eder, CV’ler üretir ve hatta video görüşmeleri sırasında gerçek zamanlı yüz değiştirme kullanırlar. Gömüldükten sonra, gasp veya casusluk için dahili veriler çalırlar.
OSINT Research, Alınan Geliştirme ve Wagemole: Sahte İşveren Profilleri arasında işlemsel bağları ortaya koyuyor ve BT çalışan kişileri sık sık e -posta hesaplarını, karşılıklı takipleri ve kod depolarını paylaşıyor.
Halka açık GitHub verileri ve mağdur referansları, bazen bağımsız araştırmacılar ve sosyal medya sleuth’ları tarafından sızan işçi programlarını, müşteri iletişimini ve çalışma kotalarını detaylandırır.
Bu materyaller, Çin, Rusya ve Güneydoğu Asya’da bulunan ve blockchain, web geliştirme ve AI entegrasyonunda uzaktan görevler için günde 16 saate kadar harcadığını göstermektedir.
Sosyal mühendislik odaklı kötü amaçlı yazılım ve istihdam-fraud programlarının bu yakınsaması hibrit bir tehdit oluşturur.
Alınan Development’in yüksek hacimli, düşük sofistike araç seti, insan tarafından işletilen BT işçi kampanyaları, siber suç ve casusluk arasındaki bulanıklık çizgileri ile güçlendirilir. Proxy görüşmesi yeni bir risk oluşturmaktadır: farkında olmadan ödün verilen adayları işe alan kuruluşlar, erişim ayrıcalıklarını kötü niyetli niyetle birleştiren içeriden gelen tehditlerle karşılaşabilirler.
Savunucular, işe alım veterinerini tehdit modellerine entegre ederek bu gelişen manzaraya uyum sağlamalıdır. Güvenlik ekipleri:
- Çok faktörlü doğrulama ve biyometrik kontrollerle aday kimliklerini doğrulayın.
- Sahte hesaplar ve anormal aktivite için işe alım platformlarını izleyin.
- Herhangi bir iş atama artefaktlarının kapsamlı kod incelemelerini yapın.
- Infostealer ve sıçan davranışlarını tespit etmek için sağlam uç nokta izleme uygulayın.
Alınan geliştirme -Wagemole işbirliği, daha geniş ekosistem farkındalığına duyulan ihtiyacın altını çizmektedir. Çevre güvenliğine odaklanan geleneksel savunmalar, insan iş akışlarından ve hileli istihdamdan yararlanan tehditleri tam olarak ele alamaz.
Bütünsel bir yaklaşım – teknik kontrolleri, tehdit istihbarat paylaşımını ve HR işbirliğini ortaya çıkarmak – bu ortaya çıkan hibrit tehdidi engellemek için gereklidir.
IOC
| SHA-1 | Dosya adı | Tespit | Tanım |
| E34A43AF5AF1E5197D940B94FC37BC4EF0B2A | nvidiadrivers.zip | Wingo/Çöküş Geliştirme.f | Weaselstore içeren bir truva projesi. |
| 3405469811BAE511E62CB0A4062AADB523CAD263 | Vcam1.update | Wingo/Çöküş Geliştirme.f | Weaselstore içeren bir truva projesi. |
| C0BAAA450C5F3B6ACDE2807642222F6D2D5B4BB | Vcam2.update | Wingo/Çöküş Geliştirme.f | Weaselstore içeren bir truva projesi. |
| Dafb44da364926bdafc72d72dbd9d728067efbd | nvidia.js | JS/Spy.DeceptivedEncopment.q | Windows için Weaselstore Downloader. |
| 01558355d2c8ab710d1232aaa8a72136485db4ec | ffmpeg.sh | OSX/Çöküş Geliştirme.B | OSX/Linux için Weaselstore Downloader. |
| CDA0F15C9430B6E0FF1ACDA4D44DA065D547AF1C | Driverminupdate | OSX/Çöküş Geliştirme.B | MacOS’ta kullanıcının girişini isteyen sahte istemi. |
| 214F0B10E9474F0F5D320158FB71995AF852B216 | nvidiaupdate.exe | Wingo/Çöküş Geliştirme.B | Windows için Weaselstore ikili derlendi. |
| 44999C80DDA6DBBB492F867D11D3FBFEEC7A3926 | yay | Python/ScepeptivedEncopment.c | InvisibleFerret. |
| B20BFBAB8BA732D428AFBA7A688E6367232B9430 | N/A | Python/ScepeptivedEncopment.c | Tarayıcı-Data Stealer InvisibleFerret modülü. |
| C6888fb1de8423d9aef9ddea6b1c96c939a06cf5 | Windows Update Script.pyw | Python/tsunamikit.a | Tsunamiinjektör. |
| 4aaf0473599d7e3a503841id10281fdc18633d2 | Çalışma zamanı broker.exe | MSIL/Çöküş | Tsunamiinstaller. |
| 251cf5f4a8e73f8c5f91071bb043b4aa7f29d519 | Tsunami yük.exe | MSIL/Çöküş | Tsunamiclientinstaller. |
| D469D1BAAAA3417080DED74CB9CF5324BDB88209 | Tsunami yük.dll | MSIL/Çöküş | Tsunamiclient. |
| 0c0f8152f3462b66231856cdd2f62d8e350a15e | Çalışma zamanı broker.exe | Win64/rissware.tor.a | Tor Proxy. |
| F42CC34C1CFAA826B96291E9AF81F1A67620E631 | autopart.zip | Win64/Çöküşme.Cjs/Spy.DeceptiedEcopelopment.a | Beaverail ve Tropidoor’un bir indiricisini içeren bir truva projesi. |
| 02a2cd54948bc0e2f696de41226dd59d150d8c5 | Hoodygang.zip | Win64/ddeceptiedEvelopment.cjs/Spy.DeceptivedEhopment.a | Beaverail ve Tropidoor’un bir indiricisini içeren bir truva projesi. |
| 6E787E129215AC153F3A4C05A3B5198586D32C9A | tailwind.config.js | JS/Spy.DeceptivedEncopment.a | Beavertail içeren Truva Azalanmış JavaScript. |
| Fe786eac26b61743560a39bfb905e6fb3b3da17 | tailwind.config.js | JS/Spy.DeceptivedEncopment.a | Beavertail içeren Truva Azalanmış JavaScript. |
| 86784a31a2709932ff10fdc40818b655c68c7215 | img_layer_generate.dll | Win64/Çöküş Geliştirme.c | Tropidoor Rat’ın bir indiricisi. |
| 9037ebd8db757100a83b8d00cce13f6c68e64 | N/A | Win64/aldatmacalı geliştirme.d | Tropidoor Sıçan. |
| C86EEDF02B73ADCE08164F5C871E643E6A32056B | DrivFixer.sh | OSX/Çöküş Geliştirme.c | Node.jS. |
| 4E4D31C559CA16F8B7D49B467AA5D057897AB121 | ClickFix-1.bat | PowerShell/ScepeptivedEvelopment.b | Windows’ta bir başlangıç aşaması: Kötü amaçlı bir nvidiarelease.zip arşivi indirme. |
| A9C94486161C07A6935F62CFC285CD342CDB35 | driv.zip | JS/Spy.DeceptivedEncelopment.aosx/ExepeptivedEncelopment.c | Beavertail içeren bir zip arşivi. |
| F | nvidiarelease.zip | JS/Spy.DeceptivedEncelopment.awin32/Çöpümlü Geliştirme.Avbs/ScepepedEvelopment.BBAT/Çözülemeli Geliştirme.a | Beavertail ve Akdoortea içeren bir zip arşivi. |
| BD63D5B0E4F2C72CCFBF318AF291F7E578FB0D90 | Mac-V-J1722.Fixer | OSX/Çöküş Geliştirme.D | MacOS’ta bir ilk aşama: Kötü niyetli bir driv.zip arşivini indiren bir bash betiği. |
| 10c967386460027e7492b6138502ab61ca828e37 | Main.js | JS/Spy.DeceptivedEncopment.a | Node.js. |
| 59BA52C644370B4D627F0B84C48BDA73D97F1610 | run.vbs | VBS/Çöküş Geliştirme.B | Akdoortea ve Shell.bat’ı yürüten bir VBScript. |
| 792afe735d6d356fd30d2e7d0a693e3906decca7 | drvupdate.exe | Win32/aldatmacalı geliştirme.a | Akdoortea, bir TCP sıçan. |
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.