SentinelLabs и Validin: северокорейская группа Contagious Interview использует уязвимости для фишинга через платформы Intel и атаки на специалистов по криптовалютам

SentinelLabs совместно с компанией интернет-аналитики Validin опубликовали результаты расследования, в ходе которого выявлена новая активность хакеров, связанных с Северной Кореей. Деятельность привязали к кластеру Contagious Interview — кампании, известной рассылкой поддельных вакансий с внедрением вредоносного ПО.

С марта по июнь 2025 года злоумышленники пытались получить доступ к порталу Validin, предназначенному для разведки инфраструктуры. В течение нескольких часов после публикации блога о Lazarus хакеры зарегистрировали несколько учётных записей, используя адреса Gmail, ранее связанные с их кампаниями. После блокировки они вернулись с новыми регистрациями, в том числе с доменов, созданных специально для этой атаки.

Аналитики отмечают, что группа проявила настойчивость: учётные записи создавались и восстанавливались многократно на протяжении месяцев. SentinelLabs намеренно оставила одну из них активной для наблюдения, что позволило выявить координацию действий, вероятно, через Slack. Стратегия заключалась не в маскировке существующей инфраструктуры, а в развертывании новых систем после блокировки предыдущих, что обеспечивало непрерывность атак.

Хакеры использовали Validin для мониторинга признаков обнаружения и для анализа инфраструктуры перед её покупкой. Поисковые запросы, связанные с доменами skillquestions[.]com и hiringassessment[.]net, указывали на попытки обойти активы, помеченные как подозрительные. Допущенные ошибки в операционной безопасности раскрыли журналы и структуры каталогов, дав исследователям редкий доступ к рабочим процессам группы.

Расследование выявило приложения ContagiousDrop, встроенные в сайты по найму персонала. Эти системы рассылали уведомления при выполнении вредоносных команд и фиксировали имена, номера телефонов и IP-адреса жертв. С января по март 2025 года пострадали более 230 пользователей, в основном из криптовалютного сектора.

По данным SentinelLabs, кампания направлена на получение доходов для Северной Кореи, а криптовалютные специалисты остаются основной целью. Несмотря на отсутствие сложных мер защиты инфраструктуры, группа демонстрирует устойчивость за счёт быстрой замены активов и постоянного поиска новых жертв.