КНДР ведет операцию «Contagious Interview»: фальшивая платформа атакует специалистов ИИ

Недавние наблюдения указывают на то, что новый вариант связанной с КНДР операции Contagious Interview активно нацелен на американских специалистов в области искусственного интеллекта и других технологических областях. В отличие от предыдущих подходов — когда злоумышленники маскировались под сотрудников для проникновения в компании — текущая кампания предполагает компрометацию подлинных соискателей путём создания кажущегося законным портала вакансий.

Как устроена кампания

Платформа-реквизит демонстрирует высокий уровень отточенности: злоумышленники используют визуальные подсказки и элементы, имитирующие известные западные технологические стартапы, чтобы повысить аутентичность и доверие. При этом объявления на сайте тщательно отформатированы, копируют реальные объявления о работе в США и содержат детализированные названия, описания и типы занятости.

Приманка предназначена для повышения доверия к платформе: сравнивая свой фиктивный сервис с реальными компаниями в сфере искусственного интеллекта и производительности, злоумышленники создают видимость рыночной значимости.

Ключевые элементы методики:

• имитация интерфейсов и брендинга известных компаний для создания иллюзии подлинности;
• объявления, скопированные по стилю и содержанию с реальных вакансий в США;
• стандартизированные формы кандидатур, требующие конфиденциальной личной информации — имена, адреса эл. почты, профили в LinkedIn — для последующего профилирования;
• встраивание вредоносных компонентов в процесс подачи заявления, в том числе программа-загрузчик под видом «Обновления драйверов Microsoft»;
• многоэтапная методология атаки с использованием механизмов перехвата и подмены данных.

Технические приёмы злоумышленников

Операция включает несколько технически сложных приёмов, характерных для кибертактик, приписываемых КНДР. Среди них особенно выделяются:

• захват буфера обмена: прослушиватель событий программируется на изменение содержимого буфера обмена каждый раз, когда пользователь копирует информацию с портала; скопированные команды заменяются вредоносными последовательностями, разработанными злоумышленниками;
• использование PowerShell-скриптов для извлечения встроенных сценариев без появления видимых предупреждений пользователю;
• встраивание загрузчиков под видом легитимных обновлений, что облегчает развертывание следующего этапа компрометации.

Кого выбирают в качестве целей и зачем

Ориентация на профессионалов в области искусственного интеллекта и криптовалют является стратегической: злоумышленников интересуют ценные технологические таланты и инфраструктура, которые могли бы расширить их возможности. Кампания выдаёт себя за уважаемых работодателей, в том числе Anthropic и Yuga Labs, что одновременно служит приманкой и фильтром — злоумышленники ищут людей, чьи навыки и связи в отрасли представляют практическую ценность.

Последствия и значимость

Такая тактика подчёркивает степень изощрённости эволюционирующих киберопераций, связанных с КНДР. Вместо прямых атак на корпоративную инфраструктуру злоумышленники всё чаще ориентируются на компрометацию персональных данных и идентификационных сведений реальных специалистов, создавая возможности для последующего целевого рекрутинга, шпионажа или внедрения в экосистемы, критичные для развития технологий.

Вывод

Новый вариант операции Contagious Interview демонстрирует переход от традиционных методов социальной инженерии к более тонко настроенным кампаниям, использующим легитимную обёртку — фиктивные платформы трудоустройства. Это делает угрозу особенно опасной для отдельных специалистов: проверять достоверность работодателей и обращать внимание на нетипичные требования при подаче заявлений становится критически важным.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.