شرکتهای BlockNovas LLC و SoftGlide LLC در ایالات متحده، به ترتیب در ایالتهای نیومکزیکو و نیویورک ثبت شدهاند. یک نهاد سوم، یعنی Angeloper Agency، نیز به این کمپین مرتبط است اما در ایالات متحده ثبت نشده است.
گروه APT کره شمالی به نام Contagious Interview (یک زیرگروه از لزاروس) مسئول این کمپین بوده و از سه شرکت جعلی کریپتو به عنوان جبهههایی برای توزیع بدافزار استفاده کرده است.
دامنهها و زیر دامنههایی که به عملیاتهای این گروه مرتبط هستند شامل lianxinxiao[.]com، blocknovas[.]com و apply-blocknovas[.]site میباشند.
هدف از ایجاد این نهادها، توزیع بدافزار از طریق فریبکاریهای مصاحبه شغلی جعلی بود که توسعهدهندگان کریپتو را هدف قرار میداد. طبق گفته محققان Silent Push، این عملیاتها به منظور نفوذ به کیف پولهای کریپتو و سرقت اطلاعات برای تسهیل حملات بیشتر به کسبوکارهای قانونی انجام میشد.
محققان گزارش دادند که مجرمان از هویتهای جعلی و آدرسهای ساختگی برای ایجاد این شرکتها استفاده کردهاند. همچنین این گروه از پروفایلهای کارکنان تولید شده توسط هوش مصنوعی برای ایجاد مشروعیت به شرکتهای جعلی استفاده کردهاند.
گروه لزاروس کره شمالی، یک گروه جنایتکار سایبری مورد حمایت دولت، سابقه استفاده از آگهیهای شغلی جعلی به عنوان یک وسیله برای توزیع بدافزار دارد، بهویژه در هدف قرار دادن شرکتهای کریپتو برای سرقت وجوه و دادههای حساس.
مشهورترین مورد آن هک پل Ronin در بازی Axie Infinity در سال ۲۰۲۱ بود که در آن یک پیشنهاد شغلی جعلی باعث نفوذ به یک کارمند Sky Mavis شد و به گروه لزاروس اجازه داد تا ۶۲۵ میلیون دلار ETH و USDC سرقت کند. حمله قابل توجه دیگر، هک پل Horizon در سال ۲۰۲۲ بود که در آن تاکتیکهای مشابه منجر به سرقت ۱۰۰ میلیون دلار از سیستمهای Harmony شد.
عملیاتهای لزاروس از سال ۲۰۱۷ تاکنون بیش از ۳ میلیارد دلار ارز دیجیتال سرقت کردهاند، طبق تخمینهای سازمان ملل و Chainalysis، و حملات مبتنی بر شغل بخش قابل توجهی از این سرقتها را تشکیل میدهد.
