Cybersecuritybedrijf
Proofpoint heeft een nieuwe, grootschalige phishingcampagne ontdekt die
zich richt op softwareontwikkelaars wereldwijd. In zes weken tijd
verstuurden de aanvallers meer dan 250 e-mails naar personen bij bijna
honderd organisaties, met als doel het stelen van cryptocurrency-assets
zoals API-tokens, wallets en inloggegevens. Proofpoint volgt de groep
achter deze campagne als UNK_DeadDrop en stelt dat zij
hoogstwaarschijnlijk banden heeft met Noord-Korea.
Sinds 2022 spannen met
Noord-Korea gelieerde cybercriminelen zich gezamenlijk in
om organisaties op het gebied van cryptocurrency en
gedecentraliseerde financiering aan te vallen. Ook richten zij
zich specifiek op developers door middel van valse
recruitersprofielen,
kwaadaardige
open source-pakketten (TraderTraitor/ Jade Sleet) en
met
trojans geïnfecteerde apps voor de handel in cryptocurrency
(AppleJeus/ Citrine Sleet). De aanvallen doen zich vaak voor als
technische beoordelingen of codeeruitdagingen. Ook maken ze gebruik van
technieken zoals ClickFix of misbruik van de functies van Visual Studio
Code om malware uit te voeren. De benaderingen gebeuren via LinkedIn,
Slack, Telegram of via meerdere platforms tegelijk, met als doel
toegang te krijgen tot assets van developers, zoals API-tokens,
cryptocurrency-wallets en inloggegevens.
Dit zijn de
belangrijkste bevindingen van het onderzoek:
- Tussen april en mei 2026 voerde een
vermoedelijk Noord-Koreaanse cybercriminele groep
phishingcampagnes met onderwerpen als het werven van developers of
het beoordelen van code, gericht op doelwitten bij bijna honderd
organisaties in de financiële sector en de cryptocurrencysector.
Ook richtten zij zich op het onderwijs, de technologiesector en
diverse andere sectoren. Proofpoint heeft deze activiteit onder de
naam UNK_DeadDrop geclusterd.
- De infectieketen begint met e-mails die links
bevatten naar door de aanvallers gecontroleerde
GitHub-repositories. Hierin worden schadelijke scripts gehost die
leiden tot de uitvoering van platformonafhankelijke malware voor
macOS, Linux en Windows, waaronder een open-source Go-framework
met de naam Overlord.
- De campagnes maakten misbruik van de workflows
van Visual Studio Code en pasten een onopvallende nieuwe techniek
toe. Hierbij werd gebruik gemaakt van kwaadaardige Visual
Studio-extensies (VSIX), die slechts minimale interactie van de
gebruiker vereisen.
- De activiteit vertoont overeenkomsten met een
andere Noord-Koreaanse groep, genaamd Contagious Interview. Toch
is er geen directe overlap in de telemetrie van Proofpoint,
waardoor onderzoekers van Proofpoint deze activiteit als een
afzonderlijke cluster registreren.
De activiteiten van
UNK_DeadDrop wijzen naar operaties uit Noord-Korea. Deze richten zich
op developers met oog op financieel gewin. Het is duidelijk dat deze
steeds verder worden ontwikkeld. De verschuiving van actieve social
engineering via sociale media naar grootschalige phishingcampagnes met
wervingsmails die links naar kwaadaardige repositories verspreiden, zou
erop kunnen wijzen dat een actor zijn operaties op industriële schaal
uitbreidt. Het consequent aanmaken van nieuwe GitHub-repositories, evenals
een nieuw malwareframework met iteratieve builds en een onopvallende
nieuwe uitvoerings- en persistentietechniek via VSIX-extensies, duidt
op toegewijde middelen en actieve ontwikkeling van tooling. De
aanvallers hebben zich waarschijnlijk ook aangepast door payloads in te
bedden in plaats van ze extern te hosten. Hierdoor wordt de
operationele veerkracht mogelijk vergroot. Ook worden de gevolgen van
het platleggen van infrastructuur vermeden.
UNK_DeadDrop vertoont
veel overeenkomsten met de cybercriminele Contagious
Interview-activiteit. Het zou een verbeterde en professionelere variant
kunnen zijn van eerdere operaties, aangezien aanvallers zich aanpassen
aan verdedigers en nieuwe technieken toepassen. De verschillen in TTP’s
en infectieketens kunnen echter ook duiden op een andere actor die
gebruikmaakt van eerder bekendgemaakte technieken, of op een subgroep
die verschillende soorten aanvalsmethoden in één operatie combineert.
Hoewel de toeschrijving aan een bekende actor nog niet is bevestigd,
blijft Proofpoint deze aanhoudende activiteit volgen als een
zelfstandige cluster.
Klik
hier
voor het volledige onderzoek.