Nova pesquisa expõe endereços de e -mail e tendências de recrutamento dos trabalhadores da RPDC de TI

A nova pesquisa de segurança cibernética revelou detalhes importantes sobre como os profissionais de TI afiliados à RPDC, que se enquadram no grupo de atores de ameaças “Sleet Jasper Sleet” da Microsoft, opera. Eles aproveitam as oportunidades de trabalho remotas nas indústrias Web3, Blockchain e Cryptocurrency para obter acesso não autorizado às redes da empresa.

Ao garantir emprego legítimo, esses atores ignoram os vetores de acesso inicial tradicionais, como explorações de dia zero ou compras na Web escura, infiltrando diretamente as organizações-alvo em fundos sifon para programas de mísseis norte-coreanos.

Táticas sofisticadas de infiltração

A análise decorre de dois vazamentos de dados que expondo aproximadamente 1.417 endereços de email, provenientes de plataformas como GoFile e corroboradas por sobreposições com a Operação Endgame 2.0, uma repressão liderada pela Europol nas redes de malware em maio de 2025.

Esses e-mails, abrangendo 63 domínios com o Gmail dominando em 1.175 instâncias, destacam uma preferência por serviços focados na privacidade, como Skiff, Proton e fornecedores temporários como Anonaddy e Gizmotik, permitindo pseudonosma e evasão de detecção.

Os conjuntos de dados vazados revelam padrões distintos na construção de nome de usuário, incluindo anos de nascimento (por exemplo, 1990-1995) sugerindo agentes de 23 a 36 anos, motivos de animais como “dragão” (aparecendo em 14 endereços), referências de mitologia grega (por exemplo, artemis, athena) e termos tecnológicos (EG, “” eg, “” Devis, “Devis, codificadores) e termos de tecnologia.

Análise de senha de violações associadas, como Cutout Pro e Toges Infotealer Como o Alien TxtBase, expõe credenciais fracas como “123qwe!@#qwe” e “asdasdasd”, frequentemente ligadas a padrões Qwerty, juntamente com discrepantes como “Xiah” repetidos seis vezes.

Muitas contas apresentam 2FA via Google Authenticator e e -mails de recuperação vinculando -se no conjunto de dados, indicando gerenciamento de identidade coordenada.

Sobreposições com violações, incluindo Canva, Z-Lib e Operação Endgame, destacam o envolvimento desses e-mails em atividades maliciosas mais amplas, com evidências de compromissos de infotealistas produzindo senhas de texto simples de serviços que não são do Gmail.

Recomendações defensivas

Um exame mais aprofundado do segundo vazamento, atribuído ao pesquisador ZACHXBT, expõe fluxos de trabalho operacionais, incluindo relatórios semanais, planilhas de despesas para a aquisição de SSNs, contas de trabalho/LinkedIn, VPNs e ferramentas como navegador OCTO, AnyDesk e Faceswap para entrevistas remotas.

De acordo com o relatórioOs históricos de pesquisa indicam direcionamento de empresas baseadas na Polônia, ecossistemas ERC20/Solana e empresas de IA, com carteiras de criptomoeda como ETH Endereço 0x78E1A4781D184E7CE6A124DD96E765E2BEA96F2C Linkado aos pagamentos.

As pseudo-identidades geralmente imitam os residentes do Reino Unido de origem chinesa, com traços de IP russo via Google traduzem para coreano, reforçando a atribuição da DPRC.

Perfis do GitHub Combinando os relatórios de granizo Jasper da Microsoft e a atividade da plataforma freelancer em trabalho e o Craigslist amplificam o risco de compromisso de espionagem e cadeia de suprimentos.

Para mitigar essas ameaças, as organizações devem integrar Modelos de aprendizado de máquina Treinado em padrões de email vazados para triagem de candidatos, examinar as conexões com a China ou a Rússia durante verificações de antecedentes e implantar ferramentas anti-profundo, como o DeepFake Scanner para entrevistas em vídeo.

Embora esses indicadores ajudem a detecção precoce, o modus operandi adaptativo dos atores de ameaças exige protocolos de verificação em andamento de vigilância e dados de dados.

Indicadores de compromisso (COI)

Encontre esta notícia interessante! Siga -nosGoogle NewsAssim,LinkedIneXPara obter atualizações instantâneas!