كشفت أبحاث أمنية أن جهات تهديد مرتبطة بكوريا الشمالية تستخدم أساليب الهندسة الاجتماعية بنمط ClickFix لنشر برمجيات خبيثة معروفة مثل BeaverTail وInvisibleFerret، مستهدفةً هذه المرة وظائف التسويق والتداول في قطاع العملات الرقمية والتجزئة، بدلاً من التركيز التقليدي على مطوري البرمجيات. وتأتي هذه الأنشطة ضمن حملة طويلة الأمد تُعرف باسم “المقابلة المعدية” (Contagious Interview)، والتي تُنسب إلى مجموعة لازاروس الشهيرة، حيث يتم إقناع الضحايا بإجراء تقييم وظيفي مزيف لتنزيل البرمجيات الخبيثة.
برمجيات خبيثة متعددة وأساليب توزيع متطورة
جرى سابقاً توزيع BeaverTail عبر حزم npm وهمية وتطبيقات مزيفة لعقد المؤتمرات المرئية. وتعمل هذه البرمجية كأداة سرقة معلومات إضافة إلى دورها كمنزّل لبرمجية InvisibleFerret المكتوبة بلغة Python. أما التطور الجديد فيكمن في استخدام إصدارات مترجمة ومضغوطة من البرمجيات تستهدف أنظمة ويندوز وماك ولينكس، مع الاعتماد على منصات مزيفة للتوظيف تدفع الضحايا لتشغيل أوامر بحجة إصلاح أعطال تقنية غير موجودة. اللافت أن النسخة الجديدة من BeaverTail باتت أبسط، حيث تركز فقط على متصفح كروم وثمانية إضافات بدلاً من اثنتين وعشرين كما في الإصدارات السابقة.
حملات منسقة واختبار للبنية التحتية
أشارت تقارير مشتركة من شركات SentinelOne وValidin إلى أن أكثر من 230 فرداً استُهدفوا بين يناير ومارس 2025 من خلال مقابلات عمل وهمية لشركات مثل Robinhood وeToro. كما تبيّن أن القراصنة يختبرون بنيتهم التحتية باستمرار، ويراقبون مؤشرات كشف نشاطهم عبر أدوات مثل VirusTotal، ويعمدون إلى استبدال الخوادم بسرعة عند إزالتها، في إشارة إلى اعتماد استراتيجية مرنة تقوم على إعادة الانتشار بدلاً من حماية الأصول القائمة.
حملات متزامنة لمجموعات أخرى
إلى جانب هذه الأنشطة، برزت حملة جديدة لمجموعة ScarCruft (APT37) الكورية الشمالية، التي اتجهت إلى استخدام برمجيات فدية مخصصة إلى جانب أدوات تجسس متطورة مثل CHILLYCHINO وFadeStealer، وهو تحول من التجسس البحت إلى نشاط مالي تدميري محتمَل. كما ظهرت أنشطة لمجموعة Kimsuky (APT43) التي استغلت مستودعات GitHub لتوزيع برمجيات سرقة البيانات، إلى جانب استخدامها تقنيات التزييف العميق (Deepfake) لإنشاء بطاقات هوية عسكرية مزيفة في حملات تصيّد استهدفت باحثين وصحفيين في شؤون كوريا الشمالية.
