Rabattoffert för flera licenser
Hotdatabas Skadlig programvara PurpleBravo Attack-kampanjen

PurpleBravo Attack-kampanjen

Med Mezo år Skadlig programvara, Advanced Persistent Threat (APT)
Översätt till:

Hotinformationsanalytiker har identifierat 3 136 individuella IP-adresser kopplade till sannolika mål för kampanjen Contagious Interview. Operationen tros involvera 20 potentiella offerorganisationer som är verksamma inom artificiell intelligens, kryptovaluta, finansiella tjänster, IT-tjänster, marknadsföring och mjukvaruutveckling. De drabbade enheterna spänner över Europa, Sydasien, Mellanöstern och Centralamerika, vilket understryker aktivitetens globala omfattning.

IP-adresserna, som till stor del är koncentrerade till Sydasien och Nordamerika, bedöms ha blivit utsatta för attacker mellan augusti 2024 och september 2025. De berörda företagen är enligt uppgift baserade i Belgien, Bulgarien, Costa Rica, Indien, Italien, Nederländerna, Pakistan, Rumänien, Förenade Arabemiraten och Vietnam.

PurpleBravo: Ett produktivt nordkoreanskt hotkluster

Aktiviteten tillskrivs ett nordkoreanskkopplat kluster som spårades som PurpleBravo, först dokumenterat i slutet av 2023. Denna grupp är känd inom säkerhetsgemenskapen under flera beteckningar, vilket återspeglar bred branschspårning:

CL-STA-0240, DeceptiveDevelopment, DEV#POPPER, Famous Chollima, Gwisin Gang, Tenacious Pungsan, UNC5342, Void Dokkaebi och WaterPlum

PurpleBravo har visat på hållbara investeringar i långsiktig infrastruktur, social ingenjörskonst och utveckling av skadlig programvara, i linje med mål som blandar cyberspionage och ekonomisk stöld.

Utnyttja anställningsprocessen och utvecklarnas ekosystem

Nya resultat följer avslöjandet av en större utveckling i kampanjen Contagious Interview, där motståndare utnyttjar skadliga Microsoft Visual Studio Code-projekt som vapen för att distribuera bakdörrar. Denna taktik missbrukar betrodda utvecklarverktyg och arbetsflöden, vilket ökar sannolikheten för framgångsrik intrång.

Forskare har identifierat bedrägliga LinkedIn-personas som utger sig för att vara utvecklare och rekryterare och påstår sig verka från Odessa, Ukraina, tillsammans med skadliga GitHub-databaser utformade för att distribuera skadlig kod som BeaverTail. I flera incidenter ska arbetssökande kandidater ha kört skadlig kod på företagsenheter, vilket utvidgade komprometteringen bortom individer och direkt till företagsmiljöer.

Skadlig kods arsenal och kommandoinfrastruktur

PurpleBravo driver separata kommando- och kontrollinfrastrukturer för att stödja flera familjer av skadlig kod. Dessa inkluderar BeaverTail, en JavaScript-baserad informationsstjälare och laddare, och GolangGhost (även känt som FlexibleFerret eller WeaselStore), en Go-baserad bakdörr härledd från det öppna källkodsprojektet HackBrowserData.

Gruppens C2-servrar är distribuerade över 17 webbhotellsleverantörer och administreras via Astrill VPN, med hanteringsaktivitet spårad till IP-intervall i Kina. Användningen av Astrill VPN har upprepade gånger dokumenterats i tidigare nordkoreanska cyberoperationer, vilket förstärker tillförlitligheten hos attributionen.

Konvergens med hotet från IT-arbetarna “Wagemole”

Contagious Interview bedöms komplettera en separat men relaterad kampanj som kallas Wagemole (PurpleDelta). Den operationen involverar nordkoreanska IT-anställda som får obehörig anställning under stulna eller fabricerade identiteter, främst för att generera intäkter och bedriva spionage. Även om Wagemole har varit aktivt sedan 2017 och spåras som ett separat kluster, har utredare upptäckt anmärkningsvärda taktiska och infrastrukturella överlappningar.

Observerade länkar inkluderar PurpleBravo-operatörer som uppvisar beteende som överensstämmer med nordkoreanska IT-anställda, ryska IP-adresser kopplade till känd IT-anställdas aktivitet som kommunicerar med PurpleBravo-infrastrukturen och delade Astrill VPN-noder associerade med båda klustren.

Eskalerande risk i leveranskedjan och företag

En särskilt oroande trend är användningen av fiktiva jobberbjudanden för att locka kandidater att genomföra kodningsbedömningar på arbetsgivarägda system, vilket i praktiken omvandlar en rekryteringsbedrägeri till en intrångsvektor för företaget. Detta visar att mjukvaru- och IT-leveranskedjan är mycket mottaglig för infiltration, även utanför de välkända anställningsprogrammen för IT-anställda.

Många av de organisationer som är föremål för detta marknadsför sig marknadsför sig med stora kundbaser, vilket förstärker risken för kompromisser i leveranskedjan nedströms. Säkerhetsforskare varnar för att även om hotet från nordkoreanska IT-anställda har fått bred uppmärksamhet, förtjänar PurpleBravo-modellen för infiltration av leveranskedjan lika hög prioritet. Organisationer uppmanas att stärka anställningsprocesser, kontroller av utvecklarmiljön och riskhantering från tredje part för att upptäcka, störa och förhindra exponering av känsliga data för nordkoreanska hotaktörer.

Trendigt

Mest sedda

Läser in...