Các tác nhân đe dọa liên kết với Triều Tiên đã được quan sát nhắm mục tiêu vào các lĩnh vực Web3 và blockchain như một phần của hai chiến dịch song sinh được theo dõi là GhostCall và GhostHire.
Theo Kaspersky, các chiến dịch này là một phần của hoạt động rộng lớn hơn có tên SnatchCrypto đã diễn ra từ ít nhất năm 2017. Hoạt động này được cho là do một nhóm con của Lazarus Group có tên BlueNoroff, còn được biết đến là APT38, CageyChameleon, CryptoCore, Genie Spider, Nickel Gladstone, Sapphire Sleet (trước đây là Copernicium), và Stardust Chollima.
Nạn nhân của chiến dịch GhostCall trải rộng trên nhiều hệ thống macOS bị lây nhiễm ở Nhật Bản, Ý, Pháp, Singapore, Thổ Nhĩ Kỳ, Tây Ban Nha, Thụy Điển, Ấn Độ và Hồng Kông, trong khi Nhật Bản và Úc được xác định là các khu vực săn lùng chính cho chiến dịch GhostHire.
"GhostCall nhắm mục tiêu mạnh mẽ vào các thiết bị macOS của các giám đốc điều hành tại các công ty công nghệ và trong lĩnh vực đầu tư mạo hiểm bằng cách trực tiếp tiếp cận các mục tiêu qua các nền tảng như Telegram, và mời các nạn nhân tiềm năng tham gia các cuộc họp liên quan đến đầu tư được liên kết với các trang web lừa đảo giống Zoom," Kaspersky cho biết.
"Nạn nhân sẽ tham gia một cuộc gọi giả mạo với các đoạn ghi âm thật của các nạn nhân thực tế khác của mối đe dọa này thay vì deepfake. Cuộc gọi diễn ra suôn sẻ, sau đó khuyến khích người dùng cập nhật ứng dụng khách Zoom bằng một script. Cuối cùng, script tải xuống các tệp ZIP dẫn đến chuỗi lây nhiễm được triển khai trên một máy chủ bị nhiễm."
Mặt khác, GhostHire liên quan đến việc tiếp cận các mục tiêu tiềm năng, chẳng hạn như các nhà phát triển Web3, trên Telegram và dụ dỗ họ tải xuống và thực thi một kho lưu trữ GitHub bị cài bẫy dưới chiêu bài hoàn thành một bài đánh giá kỹ năng trong vòng 30 phút kể từ khi chia sẻ liên kết, nhằm đảm bảo tỷ lệ lây nhiễm thành công cao hơn.
Sau khi được cài đặt, dự án được thiết kế để tải xuống một payload độc hại vào hệ thống của nhà phát triển dựa trên hệ điều hành được sử dụng. Công ty an ninh mạng Nga cho biết họ đã theo dõi hai chiến dịch này từ tháng 4 năm 2025, mặc dù ước tính rằng GhostCall đã hoạt động từ giữa năm 2023, có thể sau chiến dịch RustBucket.
RustBucket đánh dấu sự chuyển hướng lớn của nhóm đối thủ sang nhắm mục tiêu vào các hệ thống macOS, sau đó các chiến dịch khác đã tận dụng các họ malware như KANDYKORN, ObjCShellz, và TodoSwift.
Điều đáng chú ý là nhiều khía cạnh của hoạt động này đã được nhiều nhà cung cấp bảo mật ghi lại rộng rãi trong năm qua, bao gồm Microsoft, Huntress, Field Effect, Huntabil.IT, Validin, và SentinelOne.
Chiến dịch GhostCall
Các mục tiêu rơi vào các trang Zoom giả mạo như một phần của chiến dịch GhostCall ban đầu sẽ được hiển thị một trang giả tạo mang lại ảo giác về một cuộc gọi trực tiếp, nhưng sau đó sẽ hiển thị thông báo lỗi sau ba đến năm giây, thúc giục họ tải xuống Zoom Software Development Kit (SDK) để khắc phục sự cố được cho là để tiếp tục cuộc gọi.
Nếu nạn nhân mắc bẫy và cố gắng cập nhật SDK bằng cách nhấp vào tùy chọn "Update Now", điều đó sẽ dẫn đến việc tải xuống một tệp AppleScript độc hại vào hệ thống của họ. Trong trường hợp nạn nhân đang sử dụng máy Windows, cuộc tấn công sẽ tận dụng kỹ thuật ClickFix để sao chép và chạy một lệnh PowerShell.
Ở mỗi giai đoạn, mọi tương tác với trang web giả mạo đều được ghi lại và gửi đến những kẻ tấn công để theo dõi hành động của nạn nhân. Gần đây nhất là tháng trước, tác nhân đe dọa đã được quan sát chuyển từ Zoom sang Microsoft Teams, sử dụng cùng một chiến thuật lừa người dùng tải xuống TeamsFx SDK lần này để kích hoạt chuỗi lây nhiễm.
Bất kể mồi nhử nào được sử dụng, AppleScript được thiết kế để cài đặt một ứng dụng giả mạo được ngụy trang thành Zoom hoặc Microsoft Teams. Nó cũng tải xuống một AppleScript khác có tên DownTroy kiểm tra các mật khẩu được lưu trữ liên quan đến các ứng dụng quản lý mật khẩu và cài đặt thêm malware với đặc quyền root.
DownTroy, về phần mình, được thiết kế để thả nhiều payload như một phần của tám chuỗi tấn công riêng biệt, đồng thời cũng bỏ qua khuôn khổ Transparency, Consent, and Control (TCC) của Apple -
- ZoomClutch hoặc TeamsClutch, sử dụng một implant dựa trên Swift ngụy trang thành Zoom hoặc Teams trong khi chứa chức năng nhắc người dùng nhập mật khẩu hệ thống để hoàn tất cập nhật ứng dụng và exfiltrate các chi tiết đến một máy chủ bên ngoài
- DownTroy v1, sử dụng một dropper dựa trên Go để khởi chạy malware DownTroy dựa trên AppleScript, sau đó chịu trách nhiệm tải xuống các script bổ sung từ máy chủ cho đến khi máy được khởi động lại.
- CosmicDoor, sử dụng một C++ binary loader có tên GillyInjector (còn gọi là InjectWithDyld) để chạy một ứng dụng Mach-O lành tính và inject một payload độc hại vào đó trong thời gian chạy. Khi nó được chạy với cờ --d, GillyInjector kích hoạt các khả năng phá hoại của nó và xóa vĩnh viễn tất cả các tệp trong thư mục hiện tại. Payload được inject là một backdoor được viết bằng Nim có tên CosmicDoor có thể giao tiếp với một máy chủ bên ngoài để nhận và thực thi các lệnh. Người ta tin rằng những kẻ tấn công lần đầu tiên phát triển một phiên bản Go của CosmicDoor cho Windows, trước khi chuyển sang các biến thể Rust, Python và Nim. Nó cũng tải xuống một bộ stealer script bash có tên SilentSiphon.
- RooTroy, sử dụng Nimcore loader để khởi chạy GillyInjector, sau đó inject một Go backdoor có tên RooTroy (còn gọi là Root Troy V4) để thu thập thông tin thiết bị, liệt kê các tiến trình đang chạy, đọc payload từ một tệp cụ thể và tải xuống thêm malware (bao gồm RealTimeTroy) và thực thi chúng.
- RealTimeTroy, sử dụng Nimcore loader để khởi chạy GillyInjector, sau đó inject một Go backdoor có tên RealTimeTroy giao tiếp với một máy chủ bên ngoài bằng giao thức WSS để đọc/ghi tệp, lấy thông tin thư mục và tiến trình, tải lên/tải xuống tệp, terminate một tiến trình được chỉ định và lấy thông tin thiết bị.
- SneakMain, sử dụng Nimcore loader để khởi chạy một Nim payload có tên SneakMain để nhận và thực thi các lệnh AppleScript bổ sung nhận được từ một máy chủ bên ngoài.
- DownTroy v2, sử dụng một dropper có tên CoreKitAgent để khởi chạy Nimcore loader, sau đó khởi chạy DownTroy dựa trên AppleScript (còn gọi là NimDoor) để tải xuống một script độc hại bổ sung từ một máy chủ bên ngoài.
- SysPhon, sử dụng một phiên bản nhẹ của RustBucket có tên SysPhon và SUGARLOADER, một loader đã biết trước đây đã từng gửi malware KANDYKORN. SysPhon, cũng được sử dụng trong chiến dịch Hidden Risk, là một downloader được viết bằng C++ có thể tiến hành reconnaissance và tìm nạp một binary payload từ một máy chủ bên ngoài.
SilentSiphon được trang bị để thu thập dữ liệu từ Apple Notes, Telegram, các tiện ích mở rộng trình duyệt web, cũng như thông tin đăng nhập từ các trình duyệt và trình quản lý mật khẩu, và các secret được lưu trữ trong các tệp cấu hình liên quan đến một danh sách dài các dịch vụ: GitHub, GitLab, Bitbucket, npm, Yarn, Python pip, RubyGems, Rust cargo, NET Nuget, AWS, Google Cloud, Microsoft Azure, Oracle Cloud, Akamai Linode, DigitalOcean API, Vercel, Cloudflare, Netlify, Stripe, Firebase, Twilio, CircleCI, Pulumi, HashiCorp, SSH, FTP, Sui Blockchain, Solana, NEAR Blockchain, Aptos Blockchain, Algorand, Docker, Kubernetes, và OpenAI.
"Trong khi các video nguồn cấp dữ liệu cho các cuộc gọi giả mạo được ghi lại qua các trang lừa đảo Zoom giả mạo do tác nhân tạo ra, các hình ảnh hồ sơ của những người tham gia cuộc họp dường như được lấy từ các nền tảng việc làm hoặc các nền tảng truyền thông xã hội như LinkedIn, Crunchbase, hoặc X," Kaspersky nói. "Thật thú vị, một số hình ảnh này đã được cải thiện bằng [OpenAI] GPT-4o."
Chiến dịch GhostHire
Chiến dịch GhostHire, công ty an ninh mạng Nga cho biết thêm, cũng bắt nguồn từ giữa năm 2023, với những kẻ tấn công bắt đầu liên hệ trực tiếp với các mục tiêu trên Telegram, chia sẻ chi tiết về một lời mời làm việc cùng với một liên kết đến một hồ sơ LinkedIn mạo danh các nhà tuyển dụng tại các công ty tài chính có trụ sở tại Hoa Kỳ nhằm mang lại vẻ hợp pháp cho các cuộc trò chuyện.
"Tiếp theo sau giao tiếp ban đầu, tác nhân thêm mục tiêu vào danh sách người dùng cho một Telegram bot, hiển thị logo của công ty bị mạo danh và tuyên bố sai sự thật là để hợp lý hóa các đánh giá kỹ thuật cho các ứng viên," Kaspersky giải thích.
"Bot sau đó gửi cho nạn nhân một tệp lưu trữ (ZIP) chứa một dự án đánh giá mã hóa, cùng với một thời hạn nghiêm ngặt (thường khoảng 30 phút) để gây áp lực cho mục tiêu nhanh chóng hoàn thành nhiệm vụ. Sự cấp bách này làm tăng khả năng mục tiêu thực thi nội dung độc hại, dẫn đến sự thỏa hiệp hệ thống ban đầu."
Bản thân dự án là vô hại, nhưng nó kết hợp một dependency độc hại dưới dạng một Go module độc hại được lưu trữ trên GitHub (ví dụ: uniroute), khiến chuỗi lây nhiễm được kích hoạt sau khi dự án được thực thi. Điều này bao gồm việc đầu tiên xác định hệ điều hành của máy tính nạn nhân và cung cấp một payload giai đoạn tiếp theo thích hợp (tức là DownTroy) được lập trình bằng PowerShell (Windows), bash script (Linux), hoặc AppleScript (macOS).
Cũng được triển khai thông qua DownTroy trong các cuộc tấn công nhắm mục tiêu Windows là RooTroy, RealTimeTroy, một phiên bản Go của CosmicDoor, và loader dựa trên Rust có tên Bof được sử dụng để giải mã và khởi chạy một payload shellcode được mã hóa được lưu trữ trong thư mục "C:\Windows\system32\" folder.
"Nghiên cứu của chúng tôi chỉ ra một nỗ lực bền vững của tác nhân nhằm phát triển malware nhắm mục tiêu vào cả hệ thống Windows và macOS, được điều phối thông qua một cơ sở hạ tầng command-and-control thống nhất," Kaspersky nói. "Việc sử dụng generative AI đã đẩy nhanh đáng kể quá trình này, cho phép phát triển malware hiệu quả hơn với chi phí hoạt động giảm."
"Chiến lược nhắm mục tiêu của tác nhân đã phát triển vượt ra ngoài việc trộm cắp tiền điện tử và thông tin đăng nhập trình duyệt đơn giản. Khi giành được quyền truy cập, chúng tiến hành thu thập dữ liệu toàn diện trên một loạt tài sản, bao gồm infrastructure, collaboration tools, note-taking applications, development environments, và communication platforms (messengers)."
