ESET Research publiceert een witboek over DeceptiveDevelopment, ook Contagious Interview genaamd, een aan Noord-Korea gelinkte dreigingsgroep die de jongste jaren steeds meer actief is. Deze groep richt zich vooral op cryptovaluta-diefstal en freelance-ontwikkelaars voor Windows-, Linux- en macOSplatformen. Dit wordt vandaag op de jaarlijkse Virus Bulletin (VB) Conference gepresenteerd.
Praag, Bratislava, 25 september 2025 – ESET Research publiceert een witboek over DeceptiveDevelopment, ook Contagious Interview genaamd, een aan Noord-Korea gelinkte dreigingsgroep die de jongste jaren steeds meer actief is. Deze groep richt zich vooral op cryptovaluta-diefstal en freelance-ontwikkelaars voor Windows-, Linux- en macOSplatformen. Het witboek beschrijft de evolutie van de groep van vroege malware-families tot geavanceerde toolsets. Deze campagnes gebruiken vooral geavanceerde social engineering-technieken, zoals nep-sollicitatiegesprekken en de ClickFix-techniek, om malware te verspreiden en cryptovaluta te exfiltreren. ESET analyseerde ook open-source intelligence (OSINT)-gegevens die de activiteiten belichten van Noord-Koreaanse IT-medewerkers, betrokken bij frauduleuze sollicitatie-gesprekken en hun banden met DeceptiveDevelopment. Dit wordt vandaag op de jaarlijkse Virus Bulletin (VB) Conference gepresenteerd.
DeceptiveDevelopment, een Noord-Koreaanse groep die al sinds 2023 actief is, focust op financieel gewin. Het richtzich op softwareontwikkelaars voor alle grote systemen, Windows, Linux en macOS, en op ontwikkelaars in crypto– en Web3-projecten. De eerste toegang wordt uitsluitend verkregen via verschillende social engineering-technieken zoals ClickFix en via nepprofielen van recruiters, zoals Lazarus’ Operation DreamJob, om trojan-achtige codebases te leveren tijdens valse sollicitatiegesprekken. De meest voorkomende payloads zijn de infostealers BeaverTail, OtterCookie en WeaselStore alsook de modulaire RAT InvisibleFerret.
“DeceptiveDevelopment-operatoren gebruiken nepprofielen van recruiters op sociale media, vergelijkbaar met Lazarus’ Operation DreamJob. Hier hebbenze echter specifiek contact opgenomen met softwareontwikkelaars, die in vele gevallen betrokken zijn bij crypto-projecten, en ze voorzien potentiële slachtoffers van trojan-codebases die backdoors implementeren als onderdeel van een nep-sollicitatieproces”, aldus Peter Kálnai, co-auteur van het rapport. “De personen achter al deze activiteiten ruilen geavanceerde technische verfijning in voor een brede waaier aan activiteiten en zeer creatieve social engineering. Hun malware is meestal eenvoudig, maar ze slagen erin zelfs technisch onderlegde doelwitten te lokken”, zegt Kálnai.
De aanvallers kozen voor verschillende methodes om gebruikers te compromitteren en gebruikten slimme social engineering-trucs. Via nep of gehackte profielen doen ze zich voor als recruiters op platformen zoals LinkedIn, Upwork, Freelancer.com en Crypto Jobs List. Ze bieden onbestaande , lucratieve jobs aan om hun doelwitten te lokken. Slachtoffers wordt gevraagd deel te nemen aan een programmeeropdracht of een taak voorafgaand aan een sollicitatiegesprek.
Naast nepaccounts van recruiters gebruiken de aanvallers de social engineering-methode ClickFix, die aangepast en verbeterd werd. Slachtoffers worden naar een nepwebsite voor sollicitatiegesprekken gelokt en moeten er een gedetailleerd sollicitatieformulier invullen, wat tijd en moeite kost. Ten slotte wordt hen gevraagd een video op te nemen, maar de site duidt op een camerafout en biedt een “How to fix”-link aan. Hier moeten de gebruikers een terminal openen en een opdracht kopiëren die het probleem met de camera moet oplossen. Het probleem wordt niet opgelost maar de website installeert malware.
Hoewel onderzoek naar DeceptiveDevelopment vooral gebaseerd is op gegevens van ESET-telemetrie en reverse-engineering van de toolset van de groep, moet gewezen worden op de connecties met fraudeoperaties van Noord-Koreaanse IT-medewerkers. Volgens de “Most Wanted”-poster van de FBI loopt de campagne voor IT-medewerkers sinds april 2017 en is ze de jongste jaren steedsbelangrijker geworden. In een gezamenlijk advies, gepubliceerd in mei 2022, wordt de campagne voor IT-medewerkers beschreven als een gecoördineerde inspanning van Noord-Koreaanse werknemers om werk te vinden bij buitenlandse bedrijven. Vervolgens worden de salarissen gebruikt als financiering voor het regime. Men weet dat ze interne bedrijfsgegevens stelen en voor afpersing gebruiken, zoals vermeld in een aankondiging van de FBI in januari 2025.
Zoals ESET Research ontdekte uit beschikbare OSINT-gegevens, nep-cv’s en ander materiaal, richten IT-medewerkers zich vooral op werk in loondienst en contractwerk in het Westen, meer specifiek in de VS. Op basis van het verkregen materiaal ziet men een verschuiving naar Europa, in landen zoals Frankrijk, Polen, Oekraïne en Albanië. De IT-medewerkers gebruiken AI om foto’s in hun profielen en cv’s’ te bewerken, en ze voeren zelfs gezichtsverwisselingen uit in realtime video-interviews om eruit te zien zoals de persona die ze dan gebruiken. Voor interviews op afstand gebruiken ze platformen zoals Zoom, MiroTalk, FreeConference en, voor diverse social engineering-technieken, Microsoft Teams. Proxy-interviews zijn een ernstig risico voor werkgevers, daar het aanwerven van illegale werknemers uit een gesanctioneerd land tot onverantwoordelijk gedrag of ondermaatse prestaties kan leiden, maar ook kan uitgroeien tot een gevaarlijke insider bedreiging.
“De activiteiten van Noord-Koreaanse IT-medewerkers vormen een hybride bedreiging. Deze aanwervingsfraude-constructie combineert klassieke criminele activiteiten, zoals identiteitsdiefstal en synthetische identiteitsfraude, met digitale tools. Het wordt als traditionele misdaad en cybercriminaliteit geclassificeerd”, verduidelijkt Kálnai.
Het rapport “DeceptiveDevelopment: From primitive crypto theft to sophisticated AI-based deception” vat de evolutie samen van InvisibleFerret en BeaverTail, de twee belangrijkste toolsets van de groep. Het identificeert nieuw ontdekte verbanden tussen de Tropidoor-backdoor van DeceptiveDevelopment en de PostNapTea RAT gebruikt door de Lazarus-groep. Het geeft ook een uitgebreide analyse van TsunamiKit en WeaselStore, nieuwe toolkits van DeceptiveDevelopment en documenteert de functionaliteit van een WeaselStore C&C-server en de bijbehorende API.
Raadpleeg voor een meer gedetailleerde analyse van de activiteiten en tools van DeceptiveDevelopment het nieuwste witboek van ESET Research: “DeceptiveDevelopment: From primitive crypto theft to sophisticated AI-based deception” of de blogpost op www.WeLiveSecurity.com . Volg ESET Research op Twitter (tegenwoordig bekend als X), BlueSky, en Mastodon voor de nieuwste info.
Meer lezen
