Đã xác định được tới 3.136 địa chỉ IP riêng lẻ được liên kết với các mục tiêu tiềm năng của hoạt động Contagious Interview. Chiến dịch này nhắm vào 20 tổ chức nạn nhân tiềm năng thuộc các lĩnh vực trí tuệ nhân tạo (AI), tiền điện tử, dịch vụ tài chính, dịch vụ IT, tiếp thị và phát triển phần mềm ở Châu Âu, Nam Á, Trung Đông và Trung Mỹ.
Những phát hiện mới này đến từ Insikt Group của Recorded Future, đơn vị đang theo dõi nhóm hoạt động đe dọa của Triều Tiên dưới biệt danh PurpleBravo. Được ghi nhận lần đầu vào cuối năm 2023, chiến dịch này còn được biết đến với các tên gọi như CL-STA-0240, DeceptiveDevelopment, DEV#POPPER, Famous Chollima, Gwisin Gang, Tenacious Pungsan, UNC5342, Void Dokkaebi và WaterPlum.
3.136 địa chỉ IP cá nhân, chủ yếu tập trung ở Nam Á và Bắc Mỹ, được đánh giá là đã bị đối tượng tấn công nhắm đến từ tháng 8 năm 2024 đến tháng 9 năm 2025. 20 công ty nạn nhân được cho là có trụ sở tại Bỉ, Bulgaria, Costa Rica, Ấn Độ, Ý, Hà Lan, Pakistan, Romania, Các Tiểu vương quốc Ả Rập Thống nhất (U.A.E.) và Việt Nam.
"Trong một số trường hợp, các ứng viên tìm việc có khả năng đã thực thi mã độc trên thiết bị của công ty, tạo ra lỗ hổng bảo mật cho tổ chức vượt ra ngoài mục tiêu cá nhân," công ty tình báo mối đe dọa cho biết trong một báo cáo mới được chia sẻ với The Hacker News.
Tiết lộ này được đưa ra một ngày sau khi Jamf Threat Labs công bố chi tiết một phiên bản quan trọng của chiến dịch Contagious Interview, trong đó kẻ tấn công lạm dụng các dự án Microsoft Visual Studio Code (VS Code) độc hại làm vectơ tấn công để phân phối một backdoor. Điều này nhấn mạnh việc tiếp tục khai thác các quy trình làm việc của nhà phát triển đáng tin cậy để đạt được hai mục tiêu: gián điệp mạng và trộm cắp tài chính.
Công ty thuộc sở hữu của Mastercard cho biết họ đã phát hiện bốn hồ sơ LinkedIn có thể liên quan đến PurpleBravo, giả mạo làm nhà phát triển và nhà tuyển dụng, tự nhận đến từ thành phố Odesa của Ukraine, cùng với một số kho lưu trữ GitHub độc hại được thiết kế để phân phối các họ malware đã biết như BeaverTail.
PurpleBravo cũng được quan sát thấy đang quản lý hai bộ máy chủ command-and-control (C2) riêng biệt cho BeaverTail, một JavaScript infostealer và loader, và một backdoor dựa trên Go được gọi là GolangGhost (còn gọi là FlexibleFerret hoặc WeaselStore), dựa trên công cụ mã nguồn mở HackBrowserData.
Các máy chủ C2, được lưu trữ bởi 17 nhà cung cấp khác nhau, được quản trị thông qua Astrill VPN và từ các dải IP ở Trung Quốc. Việc các tác nhân đe dọa Triều Tiên sử dụng Astrill VPN trong các cuộc tấn công mạng đã được ghi nhận rõ ràng trong nhiều năm qua.
Đáng chú ý là Contagious Interview bổ sung cho một chiến dịch thứ hai, riêng biệt được gọi là Wagemole (còn gọi là PurpleDelta), nơi các nhân viên IT từ các tác nhân của Triều Tiên tìm kiếm việc làm trái phép dưới danh tính gian lận hoặc bị đánh cắp với các tổ chức có trụ sở tại Hoa Kỳ và các nơi khác trên thế giới nhằm mục đích kiếm lợi tài chính và gián điệp.
Mặc dù hai nhóm hoạt động này được coi là riêng biệt, nhưng có những sự chồng chéo đáng kể về chiến thuật và hạ tầng giữa chúng, mặc dù mối đe dọa từ nhân viên IT đã diễn ra từ năm 2017.
"Điều này bao gồm một nhà điều hành PurpleBravo có khả năng hiển thị hoạt động phù hợp với hành vi của nhân viên IT Triều Tiên, các địa chỉ IP ở Nga liên kết với các nhân viên IT Triều Tiên giao tiếp với máy chủ C2 của PurpleBravo, và lưu lượng quản trị từ cùng một địa chỉ IP Astrill VPN liên quan đến hoạt động của PurpleDelta," Recorded Future cho biết.
Tệ hơn nữa, các ứng viên được PurpleBravo tiếp cận với những lời mời làm việc giả mạo đã bị phát hiện thực hiện các bài kiểm tra mã hóa trên thiết bị do công ty cấp, qua đó làm lộ thông tin của nhà tuyển dụng. Điều này nhấn mạnh rằng chuỗi cung ứng phần mềm IT "cũng dễ bị tổn thương" trước sự xâm nhập từ các đối thủ Triều Tiên ngoài các nhân viên IT.
"Nhiều tổ chức [nạn nhân tiềm năng] này quảng cáo có lượng khách hàng lớn, tạo ra rủi ro chuỗi cung ứng nghiêm trọng cho các công ty thuê ngoài ở những khu vực này," công ty lưu ý. "Mặc dù mối đe dọa việc làm từ nhân viên IT Triều Tiên đã được công bố rộng rãi, rủi ro chuỗi cung ứng từ PurpleBravo cũng cần được chú ý tương đương để các tổ chức có thể chuẩn bị, bảo vệ và ngăn chặn rò rỉ dữ liệu nhạy cảm cho các tác nhân đe dọa Triều Tiên."
