DeceptiveDevelopment: от примитивной кражи криптовалюты до сложного обмана на базе ИИ

DeceptiveDevelopment действует как минимум с 2023 года и нацелена на финансовую выгоду. Ее активность пересекается с кампаниями Contagious Interview, DEV#POPPER и Void Dokkaebi. Группа атакует разработчиков программного обеспечения во всех основных операционных системах - Windows, Linux и macOS - особенно тех, кто работает в сфере криптовалют и проектов Web3. Первоначальное проникновение осуществляется исключительно с помощью методов социальной инженерии, таких как ClickFix, и поддельных профилей рекрутеров, аналогичных операции DreamJob группы Lazarus, для доставки троянизированных баз кода в ходе фиктивных собеседований.

Операторы DeceptiveDevelopment выдают себя за рекрутеров на платформах LinkedIn, Upwork, Freelancer и Crypto Jobs List, предлагая ложные высокооплачиваемые вакансии. Жертвам предлагают выполнить тестовое задание - скачать проект из частных репозиториев GitHub, GitLab или Bitbucket. Эти репозитории содержат вредоносный код, часто скрытый в длинных комментариях, выходящих за пределы окна редактора кода. Выполнение задания запускает первую стадию вредоносной программы BeaverTail.

Новая техника социальной инженерии ClickFix была впервые задокументирована компанией Sekoia.io в марте 2025 года. Злоумышленники направляют жертву на поддельный сайт собеседования, где требуется заполнить подробную анкету. На последнем этапе сайт запрашивает доступ к камере для записи видео, но вместо этого выдает ошибку и предлагает ссылку «Как исправить». Эта ссылка ведет к инструкции скопировать и выполнить в терминале команду, которая на самом деле загружает и запускает вредоносное программное обеспечение.

Арсенал DeceptiveDevelopment в основном кроссплатформенный и включает начальные обфусцированные скрипты на Python и JavaScript, базовые бэкдоры на Python и Go, а также проект из даркнета на .NET. Основные полезные нагрузки - это инфостилеры BeaverTail, OtterCookie и WeaselStore, а также модульный троянец удаленного доступа (RAT) InvisibleFerret.

BeaverTail - это простой похититель данных и загрузчик, который собирает информацию из кошельков криптовалют, связок ключей и сохраненных логинов браузера. Его основная функция - загрузка второго этапа, InvisibleFerret. InvisibleFerret - это модульное вредоносное ПО на Python с расширенными возможностями похищения данных и удаленного управления. Оно обычно включает модули для кражи данных браузера, полезной нагрузки (RAT), записи ввода с клавиатуры и буфера обмена, а также развертывания инструмента удаленного доступа AnyDesk.

По мере развития DeceptiveDevelopment отдельные команды внутри группы начали модифицировать код и создавать новые инструменты. Одним из примеров является WeaselStore (также известный как GolangGhost и FlexibleFerret) - кроссплатформенный инфостилер, первоначально написанный на Go, а позже переписанный на Python. Его особенность заключается в доставке на систему жертвы в виде исходного кода Go вместе с бинарными файлами окружения для компиляции, что позволяет атаковать Windows, Linux и macOS.

В ноябре 2024 года была обнаружена новая вредоносная цепочка под названием TsunamiKit, предназначенная для кражи информации и криптовалюты. Анализ показывает, что TsunamiKit, вероятно, является модификацией проекта из даркнета, а не собственной разработкой злоумышленников, так как его следы датируются как минимум декабрем 2021 года.

Наиболее сложной полезной нагрузкой, связанной с DeceptiveDevelopment, является Tropidoor. Исследование выявило, что Tropidoor разделяет большие части кода с троянцем PostNapTea, который использовался группой Lazarus в 2022 году. Это указывает на возможное заимствование или сотрудничество с более технически продвинутыми северокорейскими группами.

Деятельность DeceptiveDevelopment тесно переплетена с кампаниями северокорейских ИТ-работников, которых исследователи обозначают как WageMole. В то время как DeceptiveDevelopment компрометирует системы соискателей, posing as recruiters, ИТ-работники используют полученную информацию для того, чтобы выдавать себя за job seekers. Они применяют тактики прокси-собеседований, используют украденные личности и создают синтетические идентичности с помощью инструментов на базе искусственного интеллекта, включая замену лиц в реальном времени во время видеоинтервью.

Согласно открытым источникам, эти ИТ-работники действуют рассредоточено, часто находясь в Китае, России и странах Юго-Восточной Азии. Они работают по 10-16 часов в день, занимаясь поиском работы, выполнением задач и самообразованием. Для трудоустройства они используют поддельные документы, резюме и портфолио. Также были зафиксированы случаи использования готовых скриптов для найма реальных людей в качестве прокси для прохождения собеседований.

Анализ поддельных резюме показывает, что изначально ИТ-работники ориентировались на рынок труда США, но в последнее время сместили фокус на Европу, включая Францию, Польшу, Украину и Албанию.

Тактика, техника и процедуры (TTP) DeceptiveDevelopment демонстрируют более распределенную, ориентированную на объем модель операций. Несмотря на частую недостаточную техническую сложность, группа компенсирует это масштабом и креативной социальной инженерией. Ее кампании показывают прагматичный подход: эксплуатация инструментов с открытым исходным кодом, повторное использование доступных проектов из даркнета, адаптация вредоносного ПО, вероятно, арендованного у других северокорейских групп, и использование человеческих уязвимостей через фиктивные предложения о работе и платформы для собеседований.

Деятельность северокорейских ИТ-работников представляет собой гибридную угрозу. Эта схема мошенничества сочетает в себе классические преступные операции, такие как кража личных данных и мошенничество с синтетическими идентичностями, с цифровыми инструментами. Прокси-собеседования несут серьезный риск для работодателей, поскольку нанятый нелегальный сотрудник из страны, находящейся под санкциями, может быть не только недобросовестным, но и превратиться в опасную инсайдерскую угрозу.

Находки подчеркивают размытые границы между целевой APT-активностью и киберпреступностью, особенно в зоне пересечения кампаний вредоносного ПО от DeceptiveDevelopment и операций северокорейских ИТ-работников. Эти тактики двойного назначения - сочетание киберкражи и кибершпионажа с немошенническими схемами трудоустройства - подчеркивают необходимость для защитников рассматривать более широкие экосистемы угроз, а не изолированные кампании.

IPv4

• 103.231.75.101
• 103.35.190.170
• 116.125.126.38
• 199.188.200.147
• 45.159.248.110
• 45.8.146.93
• 86.104.72.247

Domains

• driverservices.store
• www.royalsevres.com

Odinon Domains

• n34kr3z26f3jzp4ckmwuv5ipqyatumdxhgjgsmucc65jac56khdy5zqd.onion

MD5

• 0453c8867ec16d3c558b3416d7cb1a17
• 11ebc2023c1070c65e5027b71c43e64d
• 13400d5c844b7ab9aacc81822b1e7f02
• 17cd12e8a48992cf19a468c4dfd223a5
• 1822bea1d0ec9ae1db9c265386699102
• 250443d3d3fe43e9d0ecacba69130842
• 25eb7d8fc80e014d02cf3d817ca8733f
• 2990c3d7127704bb583926ce1367a157
• 3a4d990c7a25d7382314337768a8682e
• 3aed5502118eb9b8c9f8a779d4b09e11
• 3c518c56b2115828907a1d1c1f51b25c
• 3ef7717c8bcb26396fc50ed92e812d13
• 474f230e8c8b4879717525100cedc516
• 53503cbe1d3f62e4b5fd3245ce144858
• 551db22c48faa065fad7c436e2447126
• 5a3db74e3fec3f35968b9fcabd64fd89
• 5b97d5fc54b4e541f64547367ba32ea2
• 5d77b4565f9e24aae8a82d6ac6c36458
• 6175efd148a89ca61b6835c77acc7a8d
• 627b1886ae52adc866ff7c315bdefaea
• 67cee5b180370eb03d9606f481e48f36
• 6d76886042d1d6957fec9b60cb4cc78d
• 7bb5080df1378672ec3a85e47acbbf4c
• 7ed592078a6fa54e098b86fa54eb50f3
• 84d25292717671610c936bca7f0626f5
• 8ee069b7cdc1d51b338d19ed591f93b7
• 8f3f05fcc81aa0b339c2ec925bbc430a
• 94ef379e332f3a120ab16154a7ee7a00
• 960138483333ffe531135ca96a63ec44
• a009cd35850929199ef60e71bce86830
• a05b2779375307cf2066a45dcc8779b0
• a4e58b91531d199f268c5ea02c7bf456
• b29ddcc9affdd56a520f23a61b670134
• b52e105bd040bda6639e958f7d9e3090
• cb7c6cf26c5e9e4fb84cdf18fd5c01a2
• cdf296d7404bd6193514284f021bfa54
• e406dbf82bfcdb93aef22514e0a28986
• f2c556e6572a518e69ad5b7c7a8c5215
• f677620a092f4b8d46e43d0b0b62c89d
• f741ca22e7038b6f77ee94c505141212
• f9e18687a38e968811b93351e9fca089

SHA1

• 015583535d2c8ab710d1232aa8a72136485db4ec
• 01c0d61bfb4c8269ca56e0f1f666cbf36abe69ad
• 02a2cd54948bc0e2f696de412266dd59d150d8c5
• 0c0f8152f3462b662318566cdd2f62d8e350a15e
• 10c967386460027e7492b6138502ab61ca828e37
• 214f0b10e9474f0f5d320158fb71995af852b216
• 251cf5f4a8e73f8c5f91071bb043b4aa7f29d519
• 2e3e1b95e22e4a8f4c75334ba5fc30d6a54c34c1
• 3405469811bae511e62cb0a4062aadb523cad263
• 380bd7eda453487cf11509d548ef5e5a666acd95
• 3f8ef8649e6b9162cfb0c739f01043a19e9538e7
• 4499c80dda6dbb492f8667d11d3ffbfeec7a3926
• 48e75d6e2bdb2b00ecbf4801a98f96732e397858
• 4aaf0473599d7e3a503841ed10281fdc186633d2
• 4e4d31c559ca16f8b7d49b467aa5d057897ab121
• 59ba52c644370b4d627f0b84c48bda73d97f1610
• 5f5d3a86437082fa512b5c93a6b4e39397e1adc8
• 6e787e129215ac153f3a4c05a3b5198586d32c9a
• 6f049d8a0723df10144cb51a43ce15147634fafe
• 792afe735d6d356fd30d2e7d0a693e3906decca7
• 7c5b2cafaeabbceb9765d20c6a323a07fa928624
• 7c8724b75bf7a9b8f27f5e86aac9445aafccb6ac
• 86784a31a2709932ff10fdc40818b655c68c7215
• 8feca3f5143d15437025777285d8e2e3aa9d6caa
• 90378ebd8db757100a833eb8d00cce13f6c68e64
• a9c94486161c07ae6935f62cfcc285cd342cdb35
• b20bfbab8ba732d428afba7a688e6367232b9430
• ba1a54f4ffa42765232ba094aaafaee5d3bb2b8c
• bd63d5b0e4f2c72ccfbf318af291f7e578fb0d90
• c0baa450c5f3b6aacde2807642222f6d22d5b4bb
• c6888fb1de8423d9aef9ddea6b1c96c939a06cf5
• c86eedf02b73adce08164f5c871e643e6a32056b
• cda0f15c9430b6e0ff1acda4d44da065d547af1c
• d469d1baa3417080ded74ccb9cfb5324bdb88209
• dafb44da364926bdafc72d72dbd9dd728067efbd
• e34a43acef5af1e5197d940b94fc37bc4eff0b2a
• ec8b6a0a7a7407ca3cd18de5f93489166996116c
• f01932343d7f13ff10949bc0ea27c6516f901325
• f42cc34c1cfaa826b96291e9af81f1a67620e631
• f6517b68f8317504fdcd415653cf46530e19d94a
• fe786eac26b61743560a39bfb905e6fb3bb3da17

SHA256

• 05c56f6e7215fb32aee98a24cb14c402f3938476d789a74812694056dd2c1d9a
• 08a30915045f66bc518c62f0a39dbfc678e713435f9b28a6ebd4bd4861f2d2a7
• 0d8119f01d727beacbe6fe877541b3c11b084ffdc53c8bae436aca3dbc197076
• 1fd921159de8ccf3c33c7ad3d52a4186c2695b858435e8e327c4d95a8d1b048a
• 34b6fc9024591e7a107ffbdfb77e788ec2dd83943ab4ba4889b9996ca08260b8
• 3697852e593cec371245f6a7aaa388176e514b3e63813fdb136a0301969291ea
• 3987f2214482a26a9f196a4a24e6bcebec15a88c38deeaaaef12eed506d8c1f3
• 3f424b477ac16463e871726cbb106d41574d2d0e910dee035fbd23241515e770
• 3fa0878f029e73cd7d3676e3cbcb7d4e7affc099196a738c8cbb35ae958e66e4
• 420af4aaac771db407ca02ca51912a22ead82b189bad87362b8ad4811bb94a37
• 4593589ca6cb47339eba8a62b88b30fddce6c05bdd0c6964268b82fdd690176a
• 4c2729dd1e87d988c8a16436877267a95d97f587222bdb70a80e87f6c4de020d
• 54267f70d3860fde8dedc641781f5dcd0c9c08af34f26b46899df92cfde9ac64
• 5c3e45188f2e934f4eede02e677d087aeb34c8a4848456ac2809e6151519e754
• 5df555b868c08eed8fea2c5f1bc82c5972f2dd69159b2fdb6a8b40ab6d7a1830
• 60ec2dbe8cfacdff1d4eb093032b0307e52cc68feb1f67487d9f401017c3edd7
• 61525e782cde36d5ed807084f6427d06f2915114b8dc7b33febd3b2566115541
• 61e93e0fa6ea4713dd68d9d8b40a6814534a80e2dff1c62a6e64f93debf65a71
• 6516ff7152a92f43c2806e5f3cf2b7ab945761254a973a56933560ab58315bee
• 70324215847c4beb56f38c2f222943c2781332dad413e5283934c2d9983e59c5
• 76c51fceb086df2a38c0e21e184b0a05b17bccb348d6990d7281fa630074c670
• 7e10ed7dc90ee88cb109057d7547b0a30630a4a596684e6179b12f8f656d738b
• 93f11750014fa65066ffa7f7896c3a5b127ef8e68a4062a38610931057fe3dae
• 94ed21b7056f4edbfb7a3ea117dfc18f35bbd5af3c0b8828022082e7b4afe4ed
• 95716db687bbe1c4c9af2597a3dd26b61ebe807fb4d0a150255b8e0ed197c9a9
• 979d20f83f4e992f96f6a23b5119e84959ce82f4a7d4af78b4094b87a05b6260
• 98b70e04625017ad87c3d27aed5edecdff3a8bc5bd33682b64685b358b785d88
• 9f24f2e82ac7176f82969081a7c56c670518dcc475d5b8193135f1887a8392d5
• a4e4d0e8cdac007183da7696c870ae0619d36f66981efaa8b8770947c0d59e6a
• bd2453a41ba1c06929fcdd474a059b149089f36a7407c474de8369c0ee68b682
• c67e8f51c086ce3c7f6fbd3e0d6d29212def08c321197449afbaecdd799173f1
• c68c0fac59848db1d303435737ed38c11b1eb911a95d40d4fac53536a63cee1e
• c6a7f1e191654fd7a4ec5184ed21f19cc44443976c90e3d3539da738e887d517
• d355e45fd5083a81159f1752d5a4bb3bad7941054b535a06a4cc27ef8248c93a
• dd5bbe434df2a48bdac10616c343db1a50dfa8e43305fed4ae432f0fd7cc2f8d
• e46f6971a605f09f1794977ae8771d2f51a226ec98c3a2cad193d2f84c0a70d9
• e967097a02185995ae58cded08f57e8984152124a3a34adc9543bd4ca1569e5e
• eb06a418715d1d626852a47fdbfe2516db6e1cccb3296c8d10e812ec0de5f072
• f855e04d69dce32e062e4a08b073e684e28f3a4f4f8a23e50e764934b4a45e42
• fb21dac188fd7bf0de8382c77e8a84a5476c69787d3068c62ff634461cbbba95
• fffb98ec9d21a701aa30b40b340b5a61de0f77846fc0c1eb685a3abe83d1607d