El actor de amenaza vinculado a Corea del Ártico evaluó que está detrás del truco masivo de Bybit en febrero de 2025 se ha vinculado a una campaña maliciosa que se dirige a los desarrolladores a entregar un nuevo malware de robador bajo la apariencia de una asignación de codificación.
La actividad ha sido atribuida por la Pelotón 42 de Palo Stop Networks a un camarilla de piratería que rastrea como Piscis sosegadoque incluso se conoce como Jade Sleet, Pukchong, comerciante y UNC4899.
«Piscis lentos comprometidos con desarrolladores de criptomonedas en LinkedIn, que se hace ocurrir por posibles empleadores y enviando malware disfrazado de desafíos de codificación», dijo el investigador de seguridad Prashil Pattni. «Estos desafíos requieren que los desarrolladores ejecuten un plan comprometido, infectando sus sistemas utilizando malware que hemos llamado RN Loader y RN Stealer».
Slow Piscis tiene una historia de dirigir a los desarrolladores, típicamente en el sector de criptomonedas, al acercarse a ellos en LinkedIn como parte de una supuesta oportunidad de trabajo y atraerlos a destapar un documento PDF que detalla la tarea de codificación alojada en Github.
En julio de 2023, Github reveló que los empleados que trabajan en Blockchain, criptomonedas, juegos de azar en vírgula y empresas de ciberseguridad fueron señalados por el actor de amenazas, engañándolos a ejecutar paquetes maliciosos de NPM.
Luego, en junio pasado, Mandiant, propiedad de Google, detalló el modus operandi de los atacantes de despachar primero a los objetivos en LinkedIn en un documento PDF bondadoso que contiene una descripción de trabajo para una supuesta oportunidad de trabajo y seguirlo con un cuestionario de habilidades si expresan interés.
El cuestionario incluía instrucciones para completar un desafío de codificación descargando un plan de Python troyanizado de GitHub que, aunque aparentemente capaz de ver los precios de las criptomonedas, fue diseñado para contactar a un servidor remoto para obtener una carga útil de la segunda etapa no especificada si se cumplen ciertas condiciones.
La condena de ataque de varias etapas documentada por la Pelotón 42 sigue el mismo enfoque, con la carga útil maliciosa enviada solo a objetivos validados, probablemente en función de la dirección IP, la geolocalización, el tiempo y los encabezados de solicitud HTTP.
«Centrarse en las personas contactadas a través de LinkedIn, a diferencia de las amplias campañas de phishing, permite al camarilla controlar estrechamente las etapas posteriores de la campaña y entregar las cargas enseres solo a las víctimas esperadas», dijo Pattni. «Para evitar las funciones sospechosas de evaluación y ejecutante, Slow Piscis utiliza la deserialización de YAML para ejecutar su carga útil».
La carga útil está configurada para ejecutar una tribu de malware convocatoria RN Loader, que envía información básica sobre la máquina víctima y el sistema eficaz a través de HTTPS al mismo servidor y recibe y ejecuta un blob codificado por cojín 64 de la próxima etapa.
El malware recién descargado es RN Stealer, un robador de información capaz de cosechar información confidencial de los sistemas de MacOS de Apple infectados. Esto incluye metadatos del sistema, aplicaciones instaladas, relación de directorio y el contenido de nivel superior del directorio de inicio de la víctima, el cadena iCloud, las claves SSH almacenadas y los archivos de configuración para AWS, Kubernetes y Google Cloud.
«El Infente de Infentes recopila información de víctimas más detallada, que los atacantes probablemente usaron para determinar si necesitaban acercamiento continuo», dijo la Pelotón 42.
Se insta a las víctimas específicas que solicitan un rol de JavaScript, del mismo modo, a descargar un plan de «Panel de criptomonedas» de GitHub que emplea una logística similar en la que el servidor de comando y control (C2) solo sirve cargas enseres adicionales cuando los objetivos cumplen ciertos criterios. Sin bloqueo, se desconoce la naturaleza exacta de la carga útil.
«El repositorio utiliza la utensilio de plantilla JavaScript (EJS) integrada, pasando las respuestas del servidor C2 a la función EJS.Render ()», señaló Pattni. «Al igual que el uso de yaml.load (), esta es otra técnica que Piscis lenta emplea para ocultar la ejecución del código injusto de sus servidores C2, y este método quizás solo sea llamativo cuando se ve una carga útil válida».
Jade Sleet es uno de los muchos grupos de actividades de amenazas de Corea del Ártico para rendir los señuelos con temas de oportunidades de trabajo como Vector de distribuidores de malware, los demás son Operation Dream Job, Entrevista contagiosa y Piscis atractiva.
«Estos grupos no tienen superposiciones operativas. Sin bloqueo, estas campañas que utilizan vectores de infección iniciales similares son notables», concluyó la Pelotón 42. «Slow Piscis se destaca de las campañas de sus compañeros en seguridad operativa. La entrega de cargas enseres en cada etapa está muy protegida, existente solo en la memoria. Y las herramientas de etapa posterior del camarilla solo se despliegan cuando es necesario».
