GhostCall et GhostHire utilisent de fausses réunions d’investisseurs et de faux tests de recrutement pour diffuser des logiciels malveillants multiplateformes aux professionnels de la blockchain et du Web3.
L’acteur menaçant aligné sur la Corée du Nord BlueNoroff, également connu sous les alias APT38 et TA444, a refait surface avec deux nouvelles campagnes baptisées « GhostCall » et « GhostHire », ciblant les dirigeants, les développeurs Web3 et les professionnels de la blockchain.
Selon les chercheurs Securelist de Kaspersky, les campagnes s’appuient sur l’ingénierie sociale via des plateformes comme Telegram et LinkedIn pour envoyer de fausses invitations à des réunions et finalement livrer des chaînes de logiciels malveillants à plusieurs étapes pour compromettre les hôtes macOS et Windows.
BlueNoroff est un sous-groupe à motivation financière du groupe Lazarus, la cyber-unité parrainée par l’État de Corée du Nord et liée au Reconnaissance General Bureau (RGB), et est censé gérer la campagne de longue date SnatchCrypto, dont GhostCall et GhostHire semblent être les dernières extensions.
Les chercheurs ont noté que les nouvelles campagnes mettent en évidence l’évolution de BlueNoroff vers des logiciels malveillants modulaires, des menaces multiplateformes et un ciblage hautement personnalisé de l’espace blockchain. Les échantillons de logiciels malveillants ont été trouvés écrits dans plusieurs langages de programmation, notamment Go, Rust, Nim et AppleScript, reflétant une couche technique supplémentaire dans les opérations du groupe.
Compromis via de fausses « réunions d’investisseurs »
Dans la campagne GhostCall, BlueNoroff se présente comme un capital-risqueur ou un fondateur de startup cherchant à « investir » dans des projets blockchain. Les attaquants organisent de fausses réunions vidéo via des plateformes comme Zoom ou Teams, attirant les victimes dans un faux sentiment de légitimité.
Pendant ou après ces appels, il est demandé à la victime d’installer une supposée « mise à jour » ou « plugin » pour améliorer la qualité de la connexion. Le fichier, bien sûr, est malveillant et déclenche une chaîne d’implants tels que DownTroy, CosmicDoor et Rootroy, chacun effectuant des tâches spécialisées telles que le vol d’informations d’identification, l’enregistrement de frappe ou la persistance.
Une fois dans l’environnement cible, le malware recherche les données du portefeuille cryptographique, les clés SSH et les informations d’identification du projet, tout ce qui pourrait permettre un vol financier ou un mouvement latéral au sein de l’infrastructure de l’entreprise. La campagne déploie également des routines d’exfiltration pour extraire les données sensibles du projet vers les serveurs de BlueNoroff, souvent obscurcies par un cryptage personnalisé et codées en hexadécimal pour éviter toute détection.
Les chercheurs de Securelist ont souligné que GhostCall marque une avancée majeure en matière de furtivité opérationnelle par rapport aux opérations précédentes de BlueNoroff. Les attaquants utilisent plusieurs couches de transfert et de commutation dynamique de commande et de contrôle, permettant au logiciel malveillant de rester inactif jusqu’à ce qu’il détecte une activité dans les répertoires ou les outils de développement liés à la cryptographie.
De faux recruteurs avec de vrais malwares
L’opération GhostHire adopte une approche différente, ciblant les développeurs Web3 via de fausses offres d’emploi et des tests de recrutement. Ici, BlueNoroff met en place de fausses tâches de développeur, souvent hébergées sur GitHub ou partagées via des robots Telegram. « Sur la base des cas d’attaques historiques de cette campagne, nous estimons avec un degré de confiance moyen que ce flux d’attaques impliquant Telegram et GitHub représente la dernière phase, qui a commencé au plus tard en avril de cette année », ont déclaré les chercheurs.
Les victimes sont invitées à relever un « défi de codage » pour un employeur potentiel, puis à recevoir une archive ZIP ou un référentiel Git contenant le malware. Une fois exécuté, GhostHire déploie des modules de reconnaissance du système qui déterminent le système d’exploitation de la victime (macOS ou Windows), puis télécharge sélectivement la bonne charge utile.
Ces charges utiles partagent le même ADN modulaire que les outils de GhostCall, conçus pour élever les privilèges, capturer les informations d’identification et ouvrir les portes dérobées. Les chercheurs ont noté que la composante d’ingénierie sociale est particulièrement convaincante, les attaquants entretenant parfois une correspondance d’une semaine pour gagner la confiance de la victime avant de déployer la charge utile. Récemment, BlueNoroff et sa société mère, Lazarus Group, ont étendu leurs opérations avec le vol Bybit de 1,5 milliard de dollars, les attaques de chaîne d’approvisionnement npm et les logiciels malveillants axés sur Mac ciblant les développeurs de blockchain.
