Contagious Interviewの背後にいる北朝鮮関連の脅威アクターは、偽の採用プロセス中にマルウェアを配布する手段としてフロント企業を設立しました。
“この新しいキャンペーンでは、脅威アクターグループが暗号通貨コンサルティング業界の3つのフロント企業 – BlockNovas LLC (blocknovas[.] com)、Angeloper Agency (angeloper[.]com)、およびSoftGlide LLC (softglide[.]co) – を使用して、’面接の誘い’を通じてマルウェアを拡散しています,” とSilent Pushは詳細な分析で述べています。
サイバーセキュリティ企業によると、この活動は、BeaverTail、InvisibleFerret、およびOtterCookieという3つの既知のマルウェアファミリーを配布するために使用されています。
Contagious Interviewは、北朝鮮がターゲットをクロスプラットフォームマルウェアのダウンロードに誘導するために行っているいくつかの仕事をテーマにしたソーシャルエンジニアリングキャンペーンの一つで、コーディング課題やビデオ評価中にカメラをオンにした際のブラウザの問題を修正するという名目で行われています。
この活動は、CL-STA-0240、DeceptiveDevelopment、DEV#POPPER、Famous Chollima、UNC5342、およびVoid Dokkaebiという名前でサイバーセキュリティコミュニティによって追跡されています。
マルウェアの拡散のためのフロント企業の使用は、Facebook、LinkedIn、Pinterest、X、Medium、GitHub、GitLab上に偽のアカウントを設定することと相まって、被害者を誘い込むために様々な求人掲示板を使用している脅威アクターにとって新たなエスカレーションを示しています。
“BlockNovasのフロント企業には14人が働いているとされていますが、多くの従業員のペルソナは[…]偽物のようです,” とSilent Pushは述べています。”Wayback Machineを通じてblocknovas[.]comの’About Us’ページを閲覧すると、グループは’12年以上’活動していると主張していましたが、これはビジネスが登録されてから11年長いです。”
攻撃は、BeaverTailと呼ばれるJavaScriptスティーラーとローダーの展開につながり、これはWindows、Linux、macOSホスト上で持続性を確立できるInvisibleFerretと呼ばれるPythonバックドアをドロップするために使用されます。選択された感染チェーンでは、BeaverTailを起動するために使用される同じJavaScriptペイロードを介してOtterCookieという別のマルウェアを提供することも確認されています。
BlockNovasは、ClickFix関連の誘いを使用してFROSTYFERRETとGolangGhostを配布するためにビデオ評価を活用していることが観察されており、この戦術は今月初めにSekoiaによってClickFake Interviewという名前で追跡されています。
BeaverTailは、InvisibleFerretをフォローアップペイロードとして提供するために外部サーバー(”lianxinxiao[.]com”)に接続するように設定されています。システム情報を収集し、リバースシェルを起動し、ブラウザデータやファイルを盗むための追加モジュールをダウンロードし、AnyDeskリモートアクセスソフトウェアのインストールを開始するためのさまざまな機能を備えています。
悪意のあるインフラストラクチャのさらなる分析により、BlockNovasのサブドメインの1つにホストされている”ステータスダッシュボード”の存在が明らかになり、彼らの4つのドメイン:lianxinxiao[.]com、angeloperonline[.]online、softglide[.]coの可視性を維持しています。
別のサブドメイン、mail.blocknovas[.]comドメインには、オープンソースの分散型パスワードクラッキング管理システムであるHashtopolisがホストされていることも判明しました。偽の採用活動により、少なくとも1人の開発者が2024年9月にMetaMaskウォレットを侵害されたとされる事例があります。
それだけではありません。脅威アクターは、Suiet Wallet、Ethos Wallet、Sui Walletなどの暗号通貨ウォレットに接続する機能を提供するKryptoneerというツールをattisscmo[.]comドメインでホストしているようです。
“北朝鮮の脅威アクターがSuiブロックチェーンをターゲットにするために追加の努力をしている可能性がありますが、このドメインは求人応募プロセス内で’暗号プロジェクト’の例として使用されている可能性もあります,” とSilent Pushは述べています。
BlockNovasは、Trend Microによって発表された独立した報告によると、2024年12月にLinkedInでウクライナのIT専門家を特にターゲットにしたシニアソフトウェアエンジニアの求人を広告しました。
2025年4月23日現在、BlockNovasのドメインは、”偽の求人広告で個人を欺き、マルウェアを配布する”ために使用されたとして、北朝鮮のサイバーアクターに対する法執行活動の一環として米国連邦捜査局(FBI)によって押収されました。
彼らのインフラと活動を隠すためにAstrill VPNや住宅プロキシのようなサービスを使用することに加えて、悪意のある活動の注目すべき側面は、Remakerのような人工知能(AI)を活用したツールを使用してプロフィール写真を作成することです。
サイバーセキュリティ企業は、Contagious Interviewキャンペーンの分析において、ロシアの5つのIPレンジがこの作戦を実行するために使用されていることを特定しました。これらのIPアドレスは、VPNレイヤー、プロキシレイヤー、またはRDPレイヤーによって隠されています。
“商業VPNサービス、プロキシサーバー、およびRDPを備えた多数のVPSサーバーを使用する大規模な匿名化ネットワークによって隠されているロシアのIPアドレスレンジは、ハサンとハバロフスクの2つの企業に割り当てられています,” とセキュリティ研究者のFeike HacquebordとStephen Hiltは述べています。
“ハサンは北朝鮮-ロシア国境から1マイルの距離にあり、ハバロフスクは北朝鮮との経済的および文化的なつながりで知られています。”
Contagious Interviewがコインの片面であるならば、もう一方はWagemoleとして知られる偽のIT労働者の脅威であり、AIを使用して偽のペルソナを作成し、大企業でリモートで従業員としてIT労働者を雇用させる戦術を指します。
これらの努力は二重の動機を持ち、機密データを盗むことと、月給の一部を朝鮮民主主義人民共和国(DPRK)に流すことで金銭的利益を追求することを目的としています。
“ファシリテーターは現在、DPRK国民がこの雇用を維持しようとする際に役立つように、役割の応募と面接のプロセスを最適化するためにGenAIベースのツールを使用しています,” とOktaは述べています。
“これらのGenAI強化サービスは、少数のファシリテーターによって複数のDPRK候補者のペルソナとの面接のスケジュールを管理するために必要です。これらのサービスは、会話を文字起こしまたは要約するツールから、音声とテキストのリアルタイム翻訳まで、すべてにGenAIを使用しています。”
Trend Microが収集したテレメトリーデータは、中国、ロシア、パキスタンから活動している平壌に関連する脅威アクターを指し、ロシアのIPレンジを使用してRDPを介して多数のVPSサーバーに接続し、求人サイトでのやり取りや暗号通貨関連サービスへのアクセスなどのタスクを実行しています。
“北朝鮮のアクターの匿名化ネットワークの深い層の大部分がロシアにあることを考えると、北朝鮮とロシアのエンティティ間で何らかの意図的な協力またはインフラ共有が存在する可能性があり、低から中程度の信頼度であると考えられます,” と同社は述べています。