SnatchCrypto
A Kaspersky elemzése szerint a BlueNoroff APT csoport legújabb kampányai, a GhostCall és a GhostHire 2025 áprilisától kerültek a kutatók figyelmébe. Mindkét kampány a SnatchCrypto művelet részeként célba veszi elsősorban a blockchain-fejlesztőket, valamint a Web3 és kriptovaluta iparág vezérigazgatóit és menedzsereit. A két kampány között számos hasonlóság figyelhető meg, mindkét esetben azonos kártevőprogramok bukkantak fel, és a fertőzési láncok szerkezete is hasonló. A GhostCall kampány áldozatai különösen aktívak a közösségi platformokon, például az X-en, ahol a támadók valószínűleg generatív mesterséges intelligenciát használnak a káros szkriptek megírásához, ami a kódban feltűnő, AI-szerű megjegyzésekből és emojikból is következtethető.
A GhostHire kampány kevésbé látható, mint a GhostCall, de legalább 2023 közepétől aktív, és legújabb hulláma mostanában figyelhető meg. Ez a kampány abban különbözik, hogy teljesen más kártevő-eszközöket alkalmaz: a céloldal eléréséhez szükséges User-Agent alapján letöltődik a megfelelő szkript a felhasználó operációs rendszeréhez – PowerShell a Windowshoz, bash szkript Linuxhoz, AppleScript macOS-hez. Ezek a szkriptek mind a DownTroy kártevő különböző változatait töltik le, amely a GhostCall kampányban is megjelent, és most már mind Windowsra, mind Linuxra készültek kiadásokbansecurelist.com.
A BlueNoroff csoport fejleszti eszközeit és taktikáit, hogy hatékonyabban juthasson hozzá célpontjainak adataihoz. A kampányok főleg a kriptovalutákkal és blockchain-technológiával foglalkozó szakembereket veszik célba, és a támadók egyre kifinomultabb módszerekkel próbálnak áthatolni a védelmi rétegeken. Ez a trend azt mutatja, hogy az APT csoportok egyre inkább alkalmazkodnak az új technológiákhoz, és aktívan használják a mesterséges intelligenciát is a támadásaik előkészítésében.
