De la tehnici clasice de spionaj la operațiuni complet digitale, o echipă de cercetători a dezvăluit cum recrutorii IT legați de Coreea de Nord recrutează dezvoltatori pentru a le închiria identitățile și a strânge fonduri ilicite. Este vorba despre grupul Famous Chollima, cunoscut și sub numele WageMole, asociat cu gruparea Lazarus susținută de stat, care a derulat campanii de social engineering îndreptate spre companii occidentale și a folosit identități furate, deepfake-uri și multă inteligență artificială pentru a evita apariția în fața camerelor. Operațiunea a vizat recrutorii și dezvoltatorii din afara țării, cu activitate extinsă online, de la GitHub la platforme pentru interviuri tehnice.
Cercetătorii Mauro Eldritch, expert în amenințări cibernetice la BCA LTD, fost conducător al Quetzal Team la Bitso, și Heiner García din inițiativa NorthScan au urmărit firul și au documentat tacticile folosite. Ei au identificat conturi care inundau depozitele GitHub cu anunțuri de recrutare pentru interviuri pe tehnologii .NET, Java, C#, Python, JavaScript, Ruby, Golang și Blockchain. Oferta era simplă și tentantă la prima vedere: un post remote cu sprijin din partea recrutorului, cu o remunerație afișată de aproximativ 3.000 de dolari pe lună. Partea ascunsă a schemei nu era menționată în anunț: unii candidați reali erau convinși să devină figuranti, adică să-și închirieze identitatea și chiar calculatorul, primind între 20% și 35% din salariu pentru a servi drept paravan; alternativa era doar 10% pentru furnizarea datelor personale fără a permite acces la propriul dispozitiv.
Pentru a investiga activitatea, Eldritch și García au construit un honeypot sub forma unei ferme de laptopuri simulate, utilizând serviciile sandbox de la ANY.RUN, găzduite în Germania, și au rutat traficul printr-un proxy rezidențial pentru a părea că provine din SUA. García s-a prezentat ca Andy Jones, un dezvoltator american, și a clonat un profil GitHub cu repository-urile publice ale acestui personaj pentru a părea veridic. În cursul interacțiunilor, recrutorul a cerut acces 24/7 prin AnyDesk și a solicitat informații personale detaliate: nume complet, statut de viză, adresă și chiar numărul de securitate socială pentru verificări KYC, în scopul înscrierii la interviuri în numele lui Andy Jones. Când era vorba de câștiguri mai mari, recrutorul a cerut și acces la calculatorul inginerului, astfel încât activitățile malițioase să pară că provin de pe acel dispozitiv, nu din Coreea de Nord.
Conexiunea remote a fost stabilită prin Astrill VPN, un serviciu folosit frecvent de falsi IT-iști asociați nord-coreenilor, iar recrutorii au evitat expunerea video directă, preferând deepfake-uri sau reprezentanți locali. Cercetătorii au păstrat controlul mediului, blocând navigarea atacatorului, repornind mașina sau provocând erori pentru a-l întârzia, reușind chiar să-l blocheze într-un loop de autentificare și CAPTCHA care a durat aproape o oră. Toate aceste manevre au permis conturarea unei imagini detaliate a operațiunii: persoane implicate, parteneri din alte țări, instrumente și obiceiuri.
Printre instrumentele utilizate de atacatori s-au numărat extensii AI precum AIApply, Simplify Copilot, Final Round AI și Saved Prompts, care automatizau completarea aplicațiilor, generau CV-uri și ofereau sugestii în timp real în timpul interviurilor, inclusiv prompturi pentru ChatGPT. Au fost observate și extensii pentru autentificare OTP, folosirea Google Remote Desktop pentru acces și rutine de reconstrucție a sistemului. La un moment dat, recrutorul s-a sincronizat cu contul Google, ceea ce le-a permis cercetătorilor să vadă inbox-ul Gmail, abonamente la platforme de joburi, extensii instalate și spații Slack cu discuții parțiale. În conversații a apărut un contact numit Zeeshan Jamshed, care a menționat că va fi plecat de Eid, oferind indicii despre legături reale ale rețelei.
Raportul indică faptul că echipa Famous Chollima implicată avea șase membri care au folosit nume precum Mateo, Julián, Aaron, Jesús, Sebastián și Alfredo. Există însă și echipe mai numeroase, de până la zece persoane, care concurează între ele pentru a-și lua victime sau pentru a le „pocha”, după cum notează cercetătorii. Mauro Eldritch avertizează că inginerul compromis își asumă întreaga responsabilitate dacă își închiriază identitatea; el rămâne singurul responsabil legal pentru orice pagubă cauzată de activități efectuate în numele său.
Dincolo de aspectele tehnice, munca lui Eldritch și García reprezintă un avertisment valoros pentru companii de toate dimensiunile. Informațiile colectate pot ajuta la anticiparea comportamentelor grupului, la perturbarea fluxurilor lor operaționale și la îmbunătățirea detectării, dincolo de simpla corelare a IOC-urilor cu malware cunoscut. Măsurile preventive sugerate includ verificări KYC riguroase, monitorizarea activităților remote, prudență față de oferte neobișnuit de atrăgătoare pe GitHub și atenție sporită la instrumentele AI care pot ascunde lipsa de competență a candidatului.
Famous Chollima a utilizat Astrill VPN, AnyDesk și servicii AI pentru a încheia recrutări pe GitHub. Schemele au inclus oferte de circa 3.000 USD pe lună, procente de plată între 20% și 35%, cereri de SSN și acces remote prin AnyDesk. Crezi că politici stricte de KYC și monitorizarea activă a mediului remote sunt suficiente pentru a opri astfel de operațiuni?
Fii primul care comentează