Noord-Koreaanse cybercriminelen richten phishingcampagne op cryptocurrency-ontwikkelaars
Cybersecuritybedrijf Proofpoint waarschuwt voor een grootschalige phishingcampagne die zich richt op softwareontwikkelaars wereldwijd. Binnen zes weken tijd ontvingen medewerkers van bijna honderd organisaties meer dan 250 e-mails, met als doel het stelen van cryptocurrency-assets zoals API-tokens, wallets en inloggegevens. Volgens Proofpoint onderhoudt de groep achter deze campagne, aangeduid als UNK_DeadDrop, hoogstwaarschijnlijk banden met Noord-Korea.
Sinds 2022 voeren met Noord-Korea gelieerde cybercriminelen aanvallen uit op organisaties in de cryptocurrency- en gedecentraliseerde financieringssector. Ook richten zij zich specifiek op ontwikkelaars via valse recruitersprofielen, kwaadaardige open source-pakketten zoals TraderTraitor en Jade Sleet, en met trojans geïnfecteerde apps voor handel in cryptocurrency, zoals AppleJeus en Citrine Sleet. De aanvallen doen zich vaak voor als technische beoordelingen of codeeruitdagingen. Daarnaast maken de aanvallers gebruik van technieken zoals ClickFix of misbruik van Visual Studio Code om malware uit te voeren. De benaderingen gebeuren via platforms als LinkedIn, Slack en Telegram, met als doel toegang te krijgen tot assets van ontwikkelaars.
Platformonafhankelijke malware
Uit het onderzoek van Proofpoint blijkt dat tussen april en mei 2026 een vermoedelijk Noord-Koreaanse cybercriminele groep phishingcampagnes uitvoerde. De e-mails bevatten links naar door de aanvallers gecontroleerde GitHub-repositories, waarin schadelijke scripts staan die leiden tot de uitvoering van platformonafhankelijke malware voor macOS, Linux en Windows. Hierbij wordt gebruikgemaakt van een open-source Go-framework met de naam Overlord.
De campagnes maakten misbruik van de workflows van Visual Studio Code en pasten een onopvallende nieuwe techniek toe, waarbij kwaadaardige Visual Studio-extensies (VSIX) werden gebruikt die slechts minimale interactie van de gebruiker vereisen.
De activiteit vertoont overeenkomsten met een andere Noord-Koreaanse groep, Contagious Interview. Toch is er geen directe overlap in de telemetrie van Proofpoint, waardoor de activiteit als een afzonderlijke cluster wordt geregistreerd.
'Operaties op industriële schaal uitgebreid'
Proofpoint stelt dat de activiteiten van UNK_DeadDrop wijzen op operaties uit Noord-Korea en zijn gericht op ontwikkelaars, met als doel financieel gewin. De verschuiving van actieve social engineering via sociale media naar grootschalige phishingcampagnes met wervingsmails die links naar kwaadaardige repositories verspreiden, duidt er volgens Proofpoint mogelijk op dat een actor zijn operaties op industriële schaal uitbreidt. Het consequent aanmaken van nieuwe GitHub-repositories, een nieuw malwareframework met iteratieve builds en een onopvallende nieuwe uitvoerings- en persistentietechniek via VSIX-extensies duiden op toegewijde middelen en actieve ontwikkeling van tooling. De aanvallers hebben zich waarschijnlijk ook aangepast door payloads in te bedden in plaats van ze extern te hosten, wat de operationele veerkracht vergroot.
UNK_DeadDrop vertoont veel overeenkomsten met de cybercriminele activiteit van Contagious Interview. Het zou een verbeterde en professionelere variant kunnen zijn van eerdere operaties, aangezien aanvallers zich aanpassen aan verdedigers en nieuwe technieken toepassen. De verschillen in tactieken, technieken en procedures (TTP’s) en infectieketens kunnen echter ook duiden op een andere actor die gebruikmaakt van eerder bekendgemaakte technieken, of op een subgroep die verschillende soorten aanvalsmethoden in één operatie combineert. Hoewel de toeschrijving aan een bekende actor nog niet is bevestigd, blijft Proofpoint deze activiteit volgen als een zelfstandige cluster.
Meer over cryptocurrency
Over Wouter Hoeffnagel
