Một cuộc điều tra chung do Mauro Eldritch, người sáng lập BCA LTD, dẫn đầu, cùng với sáng kiến tình báo mối đe dọa NorthScan và ANY.RUN, một giải pháp phân tích mã độc tương tác và tình báo mối đe dọa, đã phát hiện ra một trong những âm mưu xâm nhập dai dẳng nhất của Triều Tiên: một mạng lưới nhân viên IT làm việc từ xa có liên quan đến nhóm Famous Chollima của Lazarus Group.
Lần đầu tiên, các nhà nghiên cứu đã có thể theo dõi trực tiếp hoạt động của những kẻ tấn công, ghi lại hành vi của chúng trên những gì chúng tin là máy tính xách tay thực của nhà phát triển. Tuy nhiên, các máy này là môi trường sandbox được ANY.RUN tạo ra, được kiểm soát hoàn toàn và chạy dài hạn.
Thiết lập: Tuyển dụng và cho phép truy cập
Chiến dịch bắt đầu khi Heiner García của NorthScan giả mạo một nhà phát triển Hoa Kỳ bị một nhân viên tuyển dụng của Lazarus nhắm đến, kẻ này sử dụng bí danh "Aaron" (còn được biết đến là "Blaze").
Tự xưng là một "công ty" giới thiệu việc làm, Blaze đã cố gắng thuê nhà phát triển giả mạo làm người đại diện; đây là một chiến thuật Chollima nổi tiếng được sử dụng để đưa các nhân viên IT Triều Tiên vào các công ty phương Tây, chủ yếu trong các lĩnh vực finance, crypto, healthcare, và engineering.
Kế hoạch này tuân theo một mô hình quen thuộc:
- đánh cắp hoặc mượn danh tính,
- vượt qua các buổi phỏng vấn bằng công cụ AI và các câu trả lời chia sẻ,
- làm việc từ xa thông qua laptop của nạn nhân,
- chuyển lương về lại DPRK.
Khi Blaze yêu cầu quyền truy cập đầy đủ, bao gồm SSN, ID, LinkedIn, Gmail và quyền truy cập laptop 24/7, nhóm nghiên cứu đã chuyển sang giai đoạn hai.
Cái bẫy: "Trang trại laptop" không có thật
Thay vì sử dụng một chiếc laptop thật, Mauro Eldritch của BCA LTD đã triển khai các máy ảo của ANY.RUN Sandbox, mỗi máy được cấu hình giống như một máy trạm cá nhân đang hoạt động đầy đủ với lịch sử sử dụng, các công cụ phát triển và định tuyến proxy dân cư Hoa Kỳ.
Nhóm nghiên cứu cũng có thể buộc máy gặp sự cố, điều chỉnh băng thông kết nối và chụp ảnh mọi hành động mà không làm các kẻ tấn công cảnh giác.
Những gì được tìm thấy bên trong bộ công cụ của Famous Chollima
Các phiên sandbox đã phơi bày một bộ công cụ tinh gọn nhưng hiệu quả, được xây dựng để chiếm đoạt danh tính và truy cập từ xa chứ không phải để triển khai mã độc. Sau khi profile Chrome của chúng được đồng bộ hóa, những kẻ tấn công đã tải lên:
- AI-driven job automation tools (Simplify Copilot, AiApply, Final Round AI) để tự động điền đơn đăng ký và tạo câu trả lời phỏng vấn.
- Browser-based OTP generators (OTP.ee / Authenticator.cc) để xử lý 2FA của nạn nhân sau khi các tài liệu nhận dạng được thu thập.
- Google Remote Desktop, được cấu hình qua PowerShell với một PIN cố định, cung cấp quyền kiểm soát liên tục đối với máy chủ.
- Thực hiện system reconnaissance thông thường (dxdiag, systeminfo, whoami) để xác thực phần cứng và môi trường.
- Các kết nối luôn được định tuyến qua Astrill VPN, một mẫu hình liên quan đến cơ sở hạ tầng Lazarus trước đây.
Trong một phiên, kẻ tấn công thậm chí còn để lại một tin nhắn Notepad yêu cầu "nhà phát triển" tải lên ID, SSN và chi tiết ngân hàng của họ, xác nhận mục tiêu của chiến dịch: chiếm đoạt hoàn toàn danh tính và máy trạm mà không cần triển khai bất kỳ mã độc nào.
Cảnh báo dành cho các công ty và đội ngũ tuyển dụng
Tuyển dụng từ xa đã trở thành một điểm vào thầm lặng nhưng đáng tin cậy cho các mối đe dọa dựa trên danh tính. Kẻ tấn công thường tiếp cận tổ chức của bạn bằng cách nhắm mục tiêu vào các cá nhân nhân viên với các yêu cầu phỏng vấn có vẻ hợp pháp. Một khi chúng đã vào được bên trong, rủi ro sẽ vượt xa một nhân viên bị xâm nhập đơn lẻ. Kẻ xâm nhập có thể giành quyền truy cập vào các bảng điều khiển nội bộ, dữ liệu kinh doanh nhạy cảm và các tài khoản cấp quản lý mang lại tác động hoạt động thực sự.
Nâng cao nhận thức trong công ty và cung cấp cho các nhóm một nơi an toàn để kiểm tra bất kỳ điều gì đáng ngờ có thể là sự khác biệt giữa việc ngăn chặn sớm một cuộc tấn công và đối phó với một vụ xâm nhập nội bộ toàn diện sau này.
