Campania de atac PurpleBravo
Analiștii de informații despre amenințări au identificat 3.136 de adrese IP individuale legate de posibilele ținte ale campaniei Contagious Interview. Se crede că operațiunea implică 20 de organizații potențial victime care operează în domeniul inteligenței artificiale, criptomonedelor, serviciilor financiare, serviciilor IT, marketingului și dezvoltării de software. Entitățile afectate se întind pe teritoriul Europei, Asiei de Sud, Orientului Mijlociu și America Centrală, subliniind amploarea globală a activității.
Se estimează că adresele IP, concentrate în mare parte în Asia de Sud și America de Nord, au fost vizate între august 2024 și septembrie 2025. Companiile afectate își au sediul în Belgia, Bulgaria, Costa Rica, India, Italia, Olanda, Pakistan, România, Emiratele Arabe Unite și Vietnam.
Cuprins
PurpleBravo: Un grup prolific de amenințări nord-coreene
Activitatea este atribuită unui grup de atacuri cibernetice legate de Coreea de Nord, urmărit sub numele de PurpleBravo, documentat pentru prima dată la sfârșitul anului 2023. Acest grup este cunoscut în comunitatea de securitate sub mai multe denumiri, reflectând urmărirea pe scară largă a industriei:
CL-STA-0240, DeceptiveDevelopment, DEV#POPPER, Faimosul Chollima, Gwisin Gang, Tenacious Pungsan, UNC5342, Void Dokkaebi și WaterPlum
PurpleBravo a demonstrat investiții susținute în infrastructură pe termen lung, inginerie socială și dezvoltare de programe malware, aliniindu-se cu obiective care combină spionajul cibernetic cu furtul financiar.
Exploatarea procesului de angajare și a ecosistemului dezvoltatorilor
Descoperirile recente vin în urma dezvăluirii unei evoluții majore în campania Contagious Interview, în care adversarii folosesc ca arme proiectele Microsoft Visual Studio Code malițioase pentru a distribui backdoor-uri. Această tactică abuzează de instrumentele și fluxurile de lucru de încredere pentru dezvoltatori, crescând probabilitatea unei compromisări reușite.
Cercetătorii au identificat persoane frauduloase pe LinkedIn care se prezintă drept dezvoltatori și recrutori, pretinzând că operează din Odesa, Ucraina, alături de depozite GitHub malițioase concepute pentru a distribui programe malware precum BeaverTail. În mai multe incidente, candidații aflați în căutarea unui loc de muncă ar fi executat cod malițios pe dispozitive furnizate de companii, extinzând compromiterea dincolo de indivizi și direct în mediile companiilor.
Arsenalul de programe malware și infrastructura de comandă
PurpleBravo operează infrastructuri separate de comandă și control pentru a suporta mai multe familii de programe malware. Acestea includ BeaverTail, un infostealer și încărcător bazat pe JavaScript, și GolangGhost (cunoscut și sub numele de FlexibleFerret sau WeaselStore), un backdoor bazat pe Go derivat din proiectul open-source HackBrowserData.
Serverele C2 ale grupului sunt distribuite prin intermediul a 17 furnizori de găzduire și sunt administrate prin intermediul Astrill VPN, activitatea de gestionare fiind urmărită către intervale de adrese IP din China. Utilizarea Astrill VPN a fost documentată în mod repetat în operațiuni cibernetice anterioare din Coreea de Nord, ceea ce consolidează încrederea în atribuire.
Convergență cu amenințarea „Wagemole” a lucrătorilor IT
Se evaluează că operațiunea Contagious Interview completează o campanie separată, dar conexă, cunoscută sub numele de Wagemole (PurpleDelta). Această operațiune implică angajați IT nord-coreeni care obțin locuri de muncă neautorizate sub identități furate sau fabricate, în principal pentru a genera venituri și a desfășura activități de spionaj. Deși Wagemole este activă din 2017 și este urmărită ca un grup distinct, anchetatorii au descoperit suprapuneri tactice și de infrastructură notabile.
Legăturile observate includ operatori PurpleBravo care prezintă un comportament similar cu cel al lucrătorilor IT nord-coreeni, adrese IP rusești legate de activitatea cunoscută a lucrătorilor IT care comunică cu infrastructura PurpleBravo și noduri VPN Astrill partajate asociate cu ambele clustere.
Escaladarea riscului la nivelul lanțului de aprovizionare și al întreprinderii
O tendință deosebit de îngrijorătoare este utilizarea ofertelor de muncă fictive pentru a atrage candidații să finalizeze evaluări de codare pe sisteme deținute de angajatori, transformând efectiv o escrocherie de recrutare într-un vector de intruziune în cadrul întreprinderii. Acest lucru demonstrează că lanțul de aprovizionare cu software și IT este extrem de susceptibil la infiltrare, chiar și în afara schemelor de angajare a lucrătorilor IT, bine mediatizate.
Multe dintre organizațiile vizate promovează baze mari de clienți, amplificând potențialul de compromitere a lanțului de aprovizionare în aval. Cercetătorii în domeniul securității avertizează că, deși amenințarea reprezentată de lucrătorii IT nord-coreeni a primit o atenție largă, modelul PurpleBravo de infiltrare a lanțului de aprovizionare merită o prioritate egală. Organizațiile sunt îndemnate să consolideze procesele de angajare, controalele mediului dezvoltatorilor și gestionarea riscurilor de către terți pentru a detecta, perturba și preveni expunerea datelor sensibile la actorii nord-coreeni.
