Un sous-cluster au sein du tristement célèbre groupe Lazarus a mis en place une nouvelle infrastructure qui usurpe l’identité de portails d’évaluation des compétences dans le cadre de ses campagnes d’ingénierie sociale.
Microsoft a attribué l’activité à un acteur menaçant qu’il appelle Grésil saphirle décrivant comme un « changement dans la tactique de l’acteur persistant ».
Sapphire Sleet, également appelé APT38, BlueNoroff, CageyChameleon et CryptoCore, a fait ses preuves dans l’orchestration du vol de crypto-monnaie via l’ingénierie sociale.
Plus tôt cette semaine, Jamf Threat Labs a impliqué l’acteur malveillant dans une nouvelle famille de malwares macOS appelée ObjCShellz, considérée comme une charge utile de stade avancé fournie en relation avec un autre malware macOS connu sous le nom de RustBucket.
« Sapphire Sleet trouve généralement des cibles sur des plateformes comme LinkedIn et utilise des leurres liés à l’évaluation des compétences », explique l’équipe Microsoft Threat Intelligence. dit dans une série de messages sur X (anciennement Twitter).
« L’acteur malveillant déplace ensuite les communications réussies avec ses cibles vers d’autres plates-formes. »
Le géant de la technologie a déclaré que les campagnes passées organisées par l’équipe de piratage impliquaient l’envoi direct de pièces jointes malveillantes ou l’intégration de liens vers des pages hébergées sur des sites Web légitimes comme GitHub.
Cependant, la détection et la suppression rapides de ces charges utiles ont peut-être obligé Sapphire Sleet à étoffer son propre réseau de sites Web pour la distribution de logiciels malveillants.
« Plusieurs domaines et sous-domaines malveillants hébergent ces sites Web, ce qui incite les recruteurs à créer un compte », a ajouté la société. « Les sites Web sont protégés par mot de passe pour empêcher toute analyse. »