Ameaças ligadas à Coreia do Norte estão mirando setores de Web3 e blockchain em duas campanhas simultâneas identificadas como GhostCall e GhostHire.
Segundo a Kaspersky, essas operações fazem parte de uma ação maior, chamada SnatchCrypto, em andamento desde pelo menos 2017.
A atividade é atribuída ao subgrupo Lazarus BlueNoroff, conhecido também pelos codinomes APT38, CageyChameleon, CryptoCore, Genie Spider, Nickel Gladstone, Sapphire Sleet (antigo Copernicium) e Stardust Chollima.
As vítimas do GhostCall estão distribuídas por vários dispositivos macOS infectados no Japão, Itália, França, Singapura, Turquia, Espanha, Suécia, Índia e Hong Kong, enquanto Japão e Austrália são os principais alvos do GhostHire.
De acordo com a Kaspersky, “o GhostCall foca intensamente em dispositivos macOS usados por executivos de empresas de tecnologia e fundos de venture capital, abordando-os diretamente via plataformas como Telegram e convidando-os para reuniões falsas relacionadas a investimentos, que redirecionam a sites de phishing semelhantes ao Zoom.”
Durante essas chamadas falsas, as vítimas participam de reuniões simuladas com gravações reais de outras vítimas da ameaça, e não deepfakes.
A conversa segue de forma natural até o usuário ser induzido a atualizar o cliente Zoom por meio de um script malicioso.
Esse script baixa arquivos ZIP que desencadeiam uma cadeia de infecções no dispositivo comprometido.
Já o GhostHire aborda desenvolvedores Web3 no Telegram, atraindo-os a baixar e executar um repositório infectado no GitHub.
O pretexto é a realização de um teste de habilidades, com prazo curto (geralmente 30 minutos) para aumentar a chance de sucesso da infecção.
Após a instalação, o projeto baixa uma payload maliciosa específica para o sistema operacional da vítima.
A Kaspersky acompanha essas campanhas desde abril de 2025, mas avalia que o GhostCall está ativo desde meados de 2023, possivelmente sucedendo a campanha RustBucket.
O RustBucket marcou a principal mudança do grupo para sistemas macOS, com campanhas posteriores usando famílias de malware como KANDYKORN, ObjCShellz e TodoSwift.
Diversos fornecedores de segurança, incluindo Microsoft, Huntress, Field Effect, Huntabil.IT, Validin e SentinelOne, têm documentado amplamente essas operações desde o ano passado.
### Detalhes da campanha GhostCall
As vítimas que acessam as páginas falsas do Zoom veem inicialmente uma simulação de chamada em andamento.
Após três a cinco segundos, aparece uma mensagem de erro solicitando o download de um SDK (software development kit) do Zoom para continuar a chamada.
Se a vítima clica na opção “Atualizar Agora”, um arquivo AppleScript malicioso é baixado no sistema macOS.
Em máquinas Windows, o ataque utiliza a técnica ClickFix para executar comandos PowerShell.
Cada interação do usuário com o site falso é monitorada e enviada aos atacantes para rastrear suas ações.
Recentemente, a campanha migrou do Zoom para o Microsoft Teams, aplicando o mesmo truque para induzir o download de um SDK TeamsFx que inicia a cadeia de infecção.
Independentemente do alvo (Zoom ou Teams), o AppleScript instala um aplicativo falso com aparência legítima e baixa outro script chamado DownTroy.
Este último verifica senhas armazenadas em gerenciadores e instala malware adicional com privilégios de root.
O DownTroy executa oito cadeias distintas de ataque, contornando o sistema de Transparência, Consentimento e Controle (TCC) da Apple, por meio de uma série de componentes maliciosos, entre eles:
- **ZoomClutch / TeamsClutch**: implantes em Swift que simulam os apps Zoom/Teams, solicitando a senha do sistema para completar atualizações e exfiltrar dados.
- **DownTroy v1**: dropper em Go que executa o malware DownTroy, escrito em AppleScript.
- **CosmicDoor**: backdoor escrito em Nim, carregado via injeção em aplicativos Mach-O, com comando destrutivo que apaga arquivos localmente.
- **SilentSiphon**: downloader utilizado também por outras famílias.
- **RooTroy**: backdoor em Go carregado via Nimcore e GillyInjector, que coleta informações do dispositivo e executa malwares adicionais.
- **RealTimeTroy**: backdoor em Go que se comunica via WSS para manipular arquivos, processos e coletar dados do sistema.
- **SneakMain**: carrega comandos AppleScript adicionais.
- **DownTroy v2**: nova versão do malware, lançada por um dropper chamado CoreKitAgent.
- **SysPhon**: downloader em C++ que realiza reconhecimento e baixa payloads adicionais, usado anteriormente pelo malware KANDYKORN.
O SilentSiphon coleta dados de diversas fontes, como Apple Notes, Telegram, extensões de navegador, credenciais de browsers, gerenciadores de senha e arquivos de configuração relacionados a uma ampla lista de serviços, incluindo GitHub, AWS, Google Cloud, Microsoft Azure, Docker, Kubernetes e OpenAI.
As imagens de perfil usadas nas chamadas falsas parecem ter sido obtidas em plataformas de emprego ou redes sociais, como LinkedIn, Crunchbase e X (antigo Twitter), algumas delas aprimoradas com o GPT-4o da OpenAI.
### A campanha GhostHire
Segundo a Kaspersky, o GhostHire também opera desde meados de 2023.
O criminoso inicia contato com as vítimas no Telegram, enviando ofertas de emprego e links para perfis falsos no LinkedIn que imitam recrutadores de empresas financeiras dos EUA, tornando as conversas aparentemente legítimas.
Após o contato inicial, o alvo é adicionado a uma lista de usuários de um bot do Telegram que simula agilizar testes técnicos de candidatos, exibindo o logo falso da empresa.
O bot envia um arquivo ZIP com um projeto de avaliação de programação e impõe um prazo curto para a execução da tarefa — tática que pressiona a vítima a executar conteúdo infectado.
O projeto aparenta ser legítimo, mas inclui uma dependência maliciosa em Go hospedada no GitHub, que dispara a cadeia de infecção.
Ao ser executado, o malware identifica o sistema operacional da máquina (Windows, Linux ou macOS) e despacha a payload DownTroy correspondente em PowerShell, bash ou AppleScript.
Nos ataques a Windows, além do DownTroy, são usados malwares como RooTroy, RealTimeTroy, uma versão do CosmicDoor em Go e um loader Rust chamado Bof, que decodifica e executa shellcode criptografado na pasta “C:\Windows\system32\”.
A Kaspersky destaca que o grupo mantém um esforço constante no desenvolvimento de malwares para macOS e Windows, integrados a uma infraestrutura unificada de comando e controle.
O uso de inteligência artificial generativa acelerou esse processo, reduzindo o esforço operacional e tornando o desenvolvimento das ameaças mais eficiente.
O foco dos atacantes vai muito além do simples roubo de criptomoedas ou credenciais de navegador.
Com acesso às máquinas, eles coletam dados extensivos sobre infraestrutura, ferramentas de colaboração, aplicativos de anotações, ambientes de desenvolvimento e plataformas de comunicação.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...