Un subgrupo dentro del infame Grupo Lazarus ha establecido una nueva infraestructura que se hace pasar por portales de evaluación de habilidades como parte de sus campañas de ingeniería social.
Microsoft atribuyó la actividad a un actor de amenazas al que llama Aguanieve de zafirodescribiéndolo como un “cambio en las tácticas del actor persistente”.
Sapphire Sleet, también llamado APT38, BlueNoroff, CageyChameleon y CryptoCore, tiene un historial de orquestar el robo de criptomonedas mediante ingeniería social.
A principios de esta semana, Jamf Threat Labs implicó al actor de amenazas con una nueva familia de malware para macOS llamada ObjCShellz que se considera una carga útil en etapa avanzada entregada en conexión con otro malware para macOS conocido como RustBucket.
“Sapphire Sleet normalmente encuentra objetivos en plataformas como LinkedIn y utiliza señuelos relacionados con la evaluación de habilidades”, dijo el equipo de Microsoft Threat Intelligence. dicho en una serie de publicaciones en X (anteriormente Twitter).
“El actor de la amenaza luego traslada las comunicaciones exitosas con los objetivos a otras plataformas”.
El gigante tecnológico dijo que las campañas anteriores montadas por el equipo de piratería implicaban enviar archivos adjuntos maliciosos directamente o incrustar enlaces a páginas alojadas en sitios web legítimos como GitHub.
Sin embargo, la rápida detección y eliminación de estas cargas útiles puede haber obligado a Sapphire Sleet a desarrollar su propia red de sitios web para la distribución de malware.
“Varios dominios y subdominios maliciosos alojan estos sitios web, lo que incita a los reclutadores a registrarse para obtener una cuenta”, añadió la empresa. “Los sitios web están protegidos con contraseña para impedir el análisis.”