Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Malware Campanha de Ataque PurpleBravo

Campanha de Ataque PurpleBravo

Por Mezo em Malware, Ameaça Persistente Avançada (APT)
Traduzir Para:

Analistas de inteligência de ameaças identificaram 3.136 endereços IP individuais ligados a prováveis alvos da campanha Contagious Interview. Acredita-se que a operação envolva 20 organizações potencialmente vítimas, atuantes nos setores de inteligência artificial, criptomoedas, serviços financeiros, serviços de TI, marketing e desenvolvimento de software. As entidades afetadas estão localizadas na Europa, Sul da Ásia, Oriente Médio e América Central, o que demonstra o alcance global da atividade.

Os endereços IP, concentrados principalmente no Sul da Ásia e na América do Norte, teriam sido alvo dos ataques entre agosto de 2024 e setembro de 2025. As empresas afetadas estariam localizadas na Bélgica, Bulgária, Costa Rica, Índia, Itália, Holanda, Paquistão, Romênia, Emirados Árabes Unidos e Vietnã.

PurpleBravo: Um Prolífico Grupo de Ameaças Norte-Coreanas

A atividade é atribuída a um grupo ligado à Coreia do Norte, rastreado como PurpleBravo, documentado pela primeira vez no final de 2023. Este grupo é conhecido na comunidade de segurança por diversas designações, refletindo o amplo monitoramento realizado pelo setor:

CL-STA-0240, DeceptiveDevelopment, DEV#POPPER, Famous Chollima, Gwisin Gang, Tenacious Pungsan, UNC5342, Void Dokkaebi e WaterPlum

A PurpleBravo demonstrou investimento contínuo em infraestrutura de longo prazo, técnicas de engenharia social e desenvolvimento de malware, alinhando-se a objetivos que combinam espionagem cibernética e roubo financeiro.

Aproveitando o Processo de Contratação e o Ecossistema de Desenvolvedores

Descobertas recentes seguem a revelação de uma grande evolução na campanha Contagious Interview, na qual adversários utilizam projetos maliciosos do Microsoft Visual Studio Code para distribuir backdoors. Essa tática abusa de ferramentas e fluxos de trabalho confiáveis para desenvolvedores, aumentando a probabilidade de uma invasão bem-sucedida.

Pesquisadores identificaram perfis falsos no LinkedIn se passando por desenvolvedores e recrutadores, alegando operar a partir de Odessa, na Ucrânia, além de repositórios maliciosos no GitHub projetados para distribuir malware como o BeaverTail. Em diversos incidentes, candidatos a vagas de emprego teriam executado código malicioso em dispositivos corporativos, estendendo a vulnerabilidade para além de indivíduos e atingindo diretamente ambientes empresariais.

Arsenal de malware e infraestrutura de comando

O grupo PurpleBravo opera infraestruturas de comando e controle separadas para dar suporte a múltiplas famílias de malware. Entre elas, estão o BeaverTail, um infostealer e carregador baseado em JavaScript, e o GolangGhost (também rastreado como FlexibleFerret ou WeaselStore), um backdoor baseado em Go derivado do projeto de código aberto HackBrowserData.

Os servidores C2 do grupo estão distribuídos por 17 provedores de hospedagem e são administrados por meio da VPN Astrill, com a atividade de gerenciamento rastreada até faixas de IP na China. O uso da VPN Astrill foi documentado repetidamente em operações cibernéticas anteriores da Coreia do Norte, reforçando a confiabilidade da atribuição.

Convergência com a ameaça do trabalhador de TI “assalariado”

A Operação Contagious Interview é considerada complementar a uma campanha separada, mas relacionada, conhecida como Wagemole (PurpleDelta). Essa operação envolve trabalhadores de TI norte-coreanos que conseguem empregos não autorizados usando identidades roubadas ou falsificadas, principalmente para gerar receita e realizar espionagem. Embora a Wagemole esteja ativa desde 2017 e seja monitorada como um grupo distinto, os investigadores descobriram sobreposições táticas e de infraestrutura notáveis.

As ligações observadas incluem operadores da PurpleBravo exibindo comportamento consistente com trabalhadores de TI norte-coreanos, endereços IP russos vinculados à atividade conhecida de trabalhadores de TI que se comunicam com a infraestrutura da PurpleBravo e nós VPN Astrill compartilhados associados a ambos os clusters.

Aumento dos riscos na cadeia de suprimentos e nas empresas

Uma tendência particularmente preocupante é o uso de ofertas de emprego fictícias para atrair candidatos a realizar testes de programação em sistemas de propriedade do empregador, transformando efetivamente um golpe de recrutamento em um vetor de intrusão corporativa. Isso demonstra que a cadeia de suprimentos de software e TI é altamente suscetível a infiltrações, mesmo fora dos esquemas de emprego de profissionais de TI amplamente divulgados.

Muitas das organizações visadas anunciam grandes bases de clientes, ampliando o potencial de comprometimento da cadeia de suprimentos. Pesquisadores de segurança alertam que, embora a ameaça de trabalhadores de TI norte-coreanos tenha recebido ampla atenção, o modelo de infiltração na cadeia de suprimentos do PurpleBravo merece igual prioridade. Recomenda-se que as organizações fortaleçam seus processos de contratação, controles de ambiente de desenvolvimento e gerenciamento de riscos de terceiros para detectar, interromper e prevenir a exposição de dados sensíveis a agentes maliciosos norte-coreanos.

Tendendo

Alerta: Um Novo Erro no Internet Explorer Se Tornou...

Segurança do Computador
Como nós esperávamos, os ataques contra os navegadores sem correção estão ganhando impulso, de acordo com os pesquisadores de segurança que têm examinado os últimos códigos de exploração dentro do Internet Explorer, que podem ter se tornado públicos. O Internet Explorer é um dos principais alvos de ataques contra os erros sem correção, que podem permitir que um hacker obtenha acesso ao sistema...

Mais visto

Carregando...