كشفت شركة الأمن السيبراني ESET عن باب خلفي جديد يُدعى AkdoorTea ضمن حملة Contagious Interview المنسوبة لجهات تهديد كورية شمالية. وتُعرف الحملة أيضًا بأسماء متعددة مثل DeceptiveDevelopment وGwisin Gang وUNC5342، وتستهدف مطوري البرمجيات عبر أنظمة تشغيل ويندوز ولينكس وmacOS، خاصةً العاملين في مشاريع العملات الرقمية وتقنيات Web3.
الحملة تعتمد على انتحال هوية مجندين وهميين عبر منصات مثل LinkedIn وUpwork وFreelancer، حيث يُطلب من الضحايا إما أداء تقييم برمجي عبر استنساخ مشاريع من GitHub، أو اجتياز مقابلة فيديو زائفة تدفعهم لتنفيذ أوامر ضارة على أجهزتهم.
أدوات متعددة ومتداخلة
اعتمدت الحملة على مجموعة برمجيات خبيثة متنوعة أبرزها:
-
BeaverTail وInvisibleFerret وOtterCookie وWeaselStore: أدوات مخصصة لسرقة بيانات المتصفحات والمحافظ الرقمية مع قدرات تحكم عن بعد.
-
TsunamiKit: حزمة خبيثة متكاملة تتضمن مثبتات وأدوات لإخفاء الأثر وزرع برمجيات تعدين مثل XMRig.
-
Tropidoor وPostNapTea: برمجيات متقدمة تدعم أوامر لإدارة الملفات والعمليات والتقاط الشاشة، مع تشابه ملحوظ مع أدوات مجموعة Lazarus الكورية الشمالية.
الباب الخلفي AkdoorTea يتم توزيعه عبر ملفات مضغوطة مموهة بتحديثات تعريفات NVIDIA، وهو ما يعكس استمرار استغلال تقنيات ClickFix التي تزعم معالجة مشكلات الكاميرا والميكروفون في “المقابلات الوهمية”.
الارتباط بمجموعة Lazarus وخطط أوسع
تؤكد ESET أن AkdoorTea يُعد نسخة مشتقة من Akdoor المرتبط بعائلة NukeSped (Manuscrypt)، مما يعزز صلة الحملة بمجموعة Lazarus الأوسع. كما لوحظ تداخل بين Contagious Interview ومخطط WageMole الذي يستخدم عمالة كورية شمالية متخفية للحصول على وظائف حقيقية بهويات مزيفة منذ عام 2017.
تقرير صادر عن Trellix كشف عن محاولة احتيالية استهدفت شركة رعاية صحية أمريكية، حيث تقدم شخص بهوية مزيفة تدعى Kyle Lankford لوظيفة مهندس برمجيات رئيسي، قبل أن يتم ربطه بمؤشرات تهديد كورية شمالية.
مزيج بين الجريمة المنظمة والجرائم السيبرانية
أشارت ESET إلى أن نشاط العمالة الكورية الشمالية يمثل تهديدًا هجينًا يجمع بين الجرائم الكلاسيكية مثل سرقة الهوية والاحتيال في التوظيف، وبين الجرائم السيبرانية كالاختراق وسرقة الأصول الرقمية. هذا النهج يبرز قدرة بيونغ يانغ على استغلال الهندسة الاجتماعية والتقنيات المفتوحة المصدر ومشاريع الويب المظلم لتعويض نقصها في التطوير الأصلي.
