كشفت شركة ESET للأمن السيبراني عن باب خلفي غير موثق سابقًا يُدعى AkdoorTea، ضمن حملة التهديد الكورية الشمالية المعروفة باسم Contagious Interview، إلى جانب أدوات أخرى مثل TsunamiKit وTropidoor. وأوضحت الشركة أن الحملة، التي تتابعها تحت اسم DeceptiveDevelopment، تستهدف مطوري البرمجيات على مختلف الأنظمة (Windows، Linux، macOS)، وبالأخص العاملين في مشاريع العملات الرقمية وتقنيات Web3.
وتعمل الحملة من خلال انتحال صفة مجندين يعرضون وظائف مغرية عبر منصات مثل LinkedIn وUpwork وFreelancer، ثم يطلبون من الضحايا أداء اختبار برمجي أو تقييم عبر الفيديو. هذه الخطوات تُستغل لنشر برمجيات خبيثة متقدمة مثل BeaverTail، InvisibleFerret، OtterCookie، وWeaselStore.
أدوات متطورة وتكتيكات هندسة اجتماعية
تكشف التحليلات أن برمجية WeaselStore لا تقتصر على سرقة بيانات المتصفحات والمحافظ الرقمية، بل تعمل أيضًا كأداة تحكم عن بعد (RAT) قادرة على تنفيذ أوامر متعددة. أما TsunamiKit، التي ظهرت أول مرة عام 2024، فهي حزمة خبيثة تتضمن مكونات مثل TsunamiLoader وTsunamiClient وتهدف إلى سرقة المعلومات ونشر برمجيات تعدين العملات المشفرة مثل XMRig وNBMiner، مع تعزيز آليات التخفّي من خلال استثناءات في Microsoft Defender.
إلى جانب ذلك، أظهرت التحقيقات أن أداة Tropidoor تحمل تشابهًا برمجيًا مع أدوات تابعة لمجموعة Lazarus الكورية الشمالية، مثل LightlessCan وPostNapTea، وتتميز بقدرتها على إدارة الملفات والعمليات والتقاط الشاشات وتنفيذ أوامر خفية لزيادة التخفي.
AkdoorTea: الإضافة الأحدث
البرمجية الجديدة AkdoorTea تصل إلى الأنظمة عبر ملف دفعي (batch script) يقوم بتحميل ملف مضغوط يحمل اسم nvidiaRelease.zip، يتضمن سكربت بلغة Visual Basic ينفذ حمولة مزدوجة تضم BeaverTail وAkdoorTea.
وقد لوحظ أن الحملة أعادت استخدام خدعة تحديثات تعريفات NVIDIA المزيفة التي ظهرت سابقًا في هجمات ClickFix، مما يعكس مرونة المهاجمين في توظيف الهندسة الاجتماعية لخداع الضحايا. ويُعتقد أن AkdoorTea هو تطوير لنسخة سابقة تُعرف باسم Akdoor، المرتبطة بعائلة برمجيات NukeSped (Manuscrypt) الشهيرة لدى مجموعة Lazarus.
ارتباطات أوسع بعمليات احتيال التوظيف
تُظهر الأدلة أن حملة Contagious Interview ليست معزولة، بل تتقاطع مع مخطط WageMole الذي تستخدمه كوريا الشمالية لدسّ عمالة تقنية احتيالية داخل شركات عالمية عبر هويات مسروقة أو مزيفة. وأكدت شركة Trellix رصد محاولة احتيال استهدفت شركة رعاية صحية أمريكية من خلال متقدّم لوظيفة هندسة برمجيات، تبيّن لاحقًا أنه مرتبط بمؤشرات عمالة تابعة لبيونغ يانغ.
تصف ESET هذه الأنشطة بأنها تهديد هجين، يجمع بين جرائم تقليدية مثل سرقة الهوية والاحتيال، وأدوات سيبرانية متقدمة، ما يجعلها تمثل مزيجًا بين الجريمة التقليدية والجريمة الإلكترونية.
