Famous Chollima, một nhóm đe dọa liên kết với CHDCND Triều Tiên, đã liên tục phát triển kho vũ khí của mình, với các biến thể của mã độc BeaverTail và OtterCookie ngày càng hợp nhất chức năng để đánh cắp thông tin đăng nhập và tiền điện tử thông qua các lời mời làm việc giả mạo.

Một chiến dịch gần đây bao gồm một ứng dụng Node.js đã bị trojan hóa, được phân phối thông qua một gói NPM độc hại, làm nổi bật khả năng thích ứng của nhóm trong các phương pháp phân phối.

Trong chiến dịch gần đây, Famous Chollima đã hợp nhất các biến thể BeaverTail và OtterCookie trong các cuộc phỏng vấn việc làm giả mạo, tích hợp các mô-đun mới để ghi lại thao tác bàn phím và chụp ảnh màn hình. Phân tích chi tiết về sự tiến hóa của kho vũ khí này có thể được tìm thấy tại Polyswarm.

Famous Chollima: Sự Tiến Hóa của Chiến Dịch “Contagious Interview”

Famous Chollima, một phân nhóm của tập đoàn Lazarus liên kết với CHDCND Triều Tiên, tiếp tục tinh chỉnh kho vũ khí của mình trong các chiến dịch “Contagious Interview”.

Nhóm này hợp nhất các biến thể BeaverTail và OtterCookie thành các công cụ đánh cắp thông tin thống nhất hơn. Các chiến dịch này là một hình thức tấn công mạng tinh vi.

Bối Cảnh và Mục Tiêu của Nhóm Đe Dọa

Famous Chollima, còn được biết đến với các tên khác như Wagemole, Nickel Tapestry, Purple Bravo, Tenacious Pungsan, Void Dokkaebi, Storm-1877 và UNC5267, là một tác nhân đe dọa liên kết với Triều Tiên hoạt động từ ít nhất năm 2018.

Nhóm này nhắm mục tiêu vào các lĩnh vực tiền điện tử, blockchain và công nghệ, đặc biệt tập trung vào Ấn Độ và các nước phương Tây, bao gồm Mỹ, Đức và Ukraine.

Các hoạt động của Famous Chollima chủ yếu tập trung vào mục tiêu tài chính và gián điệp để hỗ trợ chế độ CHDCND Triều Tiên.

Nhóm được đánh giá là liên kết với Cục Trinh sát Tổng hợp của Triều Tiên, một cơ quan tình báo chủ chốt.

Phương Thức Lây Nhiễm và Kỹ Thuật Lừa Đảo Xã Hội

Famous Chollima sử dụng kỹ thuật lừa đảo xã hội tinh vi, mạo danh nhân viên IT từ xa hợp pháp để xâm nhập các tổ chức.

Họ tạo ra các danh tính giả mạo, làm sai lệch hồ sơ, và sử dụng AI tạo sinh để tạo hồ sơ thuyết phục, đảm bảo vai trò tại các doanh nghiệp nhỏ đến vừa thông qua các nền tảng như Upwork và LinkedIn.

Một khi đã xâm nhập, chúng triển khai mã độc tùy chỉnh, như BeaverTail và InvisibleFerret, để đánh cắp thông tin đăng nhập và dữ liệu nhạy cảm.

Trong một sự cố được ghi nhận, một tổ chức ở Sri Lanka đã bị xâm phạm ngẫu nhiên khi một người dùng sao chép một kho lưu trữ Bitbucket cho “Chessfi”, một nền tảng cờ vua web3 có tính năng cá cược tiền điện tử.

Các phụ thuộc của kho lưu trữ đã kéo gói NPM độc hại “node-nvm-ssh” từ NPM, kích hoạt các tập lệnh sau cài đặt (post-install scripts) tạo ra các tiến trình con để thực thi các tải trọng JavaScript đã bị che giấu từ các tệp nhúng như “test.list”.

Các Chỉ Dấu Kỹ Thuật và Nhận Dạng (TTPs)

• Nhóm đe dọa: Famous Chollima (còn gọi là Wagemole, Nickel Tapestry, Purple Bravo, Tenacious Pungsan, Void Dokkaebi, Storm-1877, UNC5267)
• Tên chiến dịch: Contagious Interview
• Mã độc chính: BeaverTail, OtterCookie, InvisibleFerret, PylangGhost
• Gói NPM độc hại:node-nvm-ssh
• Tệp nhúng độc hại:test.list
• Cổng giao tiếp C2: 1224 (cho mô-đun InvisibleFerret)
• Nền tảng mục tiêu: Các trình duyệt Chrome, Brave, Edge; các ví tiền điện tử MetaMask, Phantom, Solflare.

Phân Tích Chuyên Sâu về Mã độc BeaverTail và OtterCookie

Sự kết hợp các biến thể mã độc BeaverTail và OtterCookie trong các cuộc phỏng vấn giả mạo đã tích hợp các mô-đun mới để ghi lại thao tác bàn phím (keylogging) và chụp ảnh màn hình.

Một gói NPM độc hại “node-nvm-ssh” được nhúng trong một ứng dụng cờ vua chủ đề tiền điện tử đóng vai trò là vector lây nhiễm, thực thi các tải trọng JavaScript đã bị che giấu.

Sự Hợp Nhất Tính Năng và Các Phiên Bản của OtterCookie

Sự hợp nhất về chức năng giữa BeaverTail, OtterCookie và InvisibleFerret cho thấy sự chuyển dịch sang các công cụ dựa trên JavaScript để giảm phụ thuộc vào Python trên các hệ thống Windows.

OtterCookie đã phát triển qua năm phiên bản kể từ cuối năm 2024, bổ sung các khả năng như truy cập shell từ xa, trích xuất tệp và nhắm mục tiêu ví tiền điện tử.

Các phiên bản đầu của OtterCookie dựa vào cookie HTTP để tải trọng, sau đó đã phát triển thành các chuỗi mô-đun được thực thi ngay lập tức.

Sự tiến triển của OtterCookie kéo dài từ khả năng RCE cơ bản trong phiên bản 1 (cuối năm 2024) đến phiên bản 5 (tháng 8 năm 2025), tích hợp các thủ thuật chống phân tích như kiểm tra môi trường và trình xử lý lỗi eval để tải mã.

Chức năng của BeaverTail

Tải trọng này cho thấy sự hội tụ của các cơ sở mã BeaverTail và OtterCookie. BeaverTail chịu trách nhiệm liệt kê hồ sơ trình duyệt, nhắm mục tiêu các tiện ích mở rộng ví như MetaMask, Phantom và Solflare trên các trình duyệt Chrome, Brave, Edge và các trình duyệt khác.

Mã độc này cũng tải xuống các mô-đun InvisibleFerret dựa trên Python từ các máy chủ C2 qua các cổng như 1224, cài đặt các bản phân phối Python trên Windows để cho phép thực thi.

BeaverTail, hoạt động từ giữa năm 2023, đã thích nghi tương tự với việc xáo trộn base64 cho các URL C2 và hỗ trợ đa nền tảng, thường được đóng gói trong các cuộc tấn công chuỗi cung ứng.

Chức năng của OtterCookie

OtterCookie bổ sung các tiện ích mở rộng mô-đun bao gồm một shell từ xa sử dụng socket.io-client để thực thi lệnh và lấy dấu vân tay hệ thống.

Nó cũng có một trình tải lên tệp (file uploader) quét các ổ đĩa để tìm tài liệu, thông tin đăng nhập và các tệp liên quan đến tiền điện tử, đồng thời loại trừ các đường dẫn cụ thể.

Tiện ích mở rộng đánh cắp tiền điện tử của OtterCookie chồng chéo với danh sách của BeaverTail.

Mô-đun Mới: Keylogging và Screenshot

Một mô-đun OtterCookie mới, được phát hiện lần đầu vào tháng 4 năm 2025, bổ sung khả năng ghi lại thao tác bàn phím (keylogging) và chụp ảnh màn hình.

Dữ liệu thu thập được sẽ được đệm trong các tệp tạm thời trước khi được trích xuất (exfiltrate) đến các điểm cuối C2.

Chức năng giám sát clipboard xuất hiện trong các biến thể, sử dụng các lệnh gốc của hệ điều hành như “pbpaste” trên macOS hoặc PowerShell trên Windows.

# Ví dụ lệnh giám sát clipboard trên macOS
pbpaste

# Ví dụ lệnh giám sát clipboard trên Windows (PowerShell)
Get-Clipboard

Các nhà nghiên cứu của Cisco Talos cũng đã phát hiện một tiện ích mở rộng VS Code đáng ngờ mô phỏng một công cụ onboarding, nhúng mã tương tự.

Mặc dù việc quy kết vẫn còn đang được xem xét, điều này cho thấy khả năng thử nghiệm với việc phân phối dựa trên trình soạn thảo.

Chiến Lược Hoạt Động của Famous Chollima

Nhóm này sử dụng các chiến dịch tuyển dụng việc làm giả mạo, phân phối các RAT (Remote Access Trojan) dựa trên Python độc hại như PylangGhost để nhắm mục tiêu vào các lĩnh vực tiền điện tử và blockchain.

Famous Chollima thiết lập tính bền bỉ thông qua các sửa đổi registry và sử dụng HTTP được mã hóa RC4 cho giao tiếp command-and-control (C2).

Các hoạt động của Famous Chollima tài trợ cho chế độ Triều Tiên thông qua tiền lương kiếm được bất hợp pháp và tài sản bị đánh cắp, lách các lệnh trừng phạt quốc tế.

Cơ sở hạ tầng của nhóm thường dựa vào các mạng ẩn danh để che giấu các hoạt động của chúng.