Durante il Security Analyst Summit in Thailandia, il Global Research and Analysis Team (GReAT) di Kaspersky ha svelato nuove attività del gruppo APT BlueNoroff, una divisione del più noto Lazarus Group. L’indagine ha portato alla luce due operazioni mirate denominate “GhostCall” e “GhostHire”, attive almeno dall’aprile 2025 e focalizzate su aziende del settore Web3 e criptovalute in India, Turchia, Australia, oltre che in diversi Paesi europei e asiatici.
BlueNoroff prosegue così la sua campagna “SnatchCrypto”, rivolta a colpire imprese del mondo blockchain con obiettivi economici. Le nuove campagne sfruttano malware personalizzati e tecniche di infiltrazione basate su AI, capaci di compromettere dirigenti e sviluppatori che operano su Windows e macOS, grazie a un’infrastruttura di comando e controllo unificata.
GhostCall: l’inganno in videochiamata
GhostCall colpisce principalmente i sistemi macOS con un livello di social engineering di rara sofisticazione. Gli attaccanti contattano le vittime tramite Telegram, fingendosi investitori o venture capitalist, a volte usando account compromessi di veri imprenditori per accrescere la credibilità. Dopo aver instaurato un contatto, invitano la vittima a un finto incontro su piattaforme clonate di Zoom o Microsoft Teams, dove viene richiesto un “aggiornamento” del client che in realtà installa il malware.
“I cybercriminali riproducono video di precedenti vittime durante incontri falsi, così da simulare una videochiamata reale e manipolare i nuovi bersagli,” spiega Sojun Ryu, Security Researcher del GReAT. “I dati raccolti servono poi per ulteriori attacchi o per compromettere aziende collegate nella supply chain.”
La catena d’attacco di GhostCall include sette fasi di esecuzione, quattro delle quali mai individuate prima, con l’uso di payload mirati come crypto stealer, browser credential stealer e Telegram secrets stealer.
GhostHire: il malware che si traveste da test di lavoro
Parallelamente, GhostHire prende di mira sviluppatori blockchain attraverso false offerte di lavoro. Gli aggressori fingono di essere recruiter e inviano un repository GitHub infetto, presentato come esercizio di valutazione tecnica. Una volta eseguito, il malware si installa sul dispositivo, adattandosi automaticamente al sistema operativo.
L’uso dell’intelligenza artificiale
Secondo Kaspersky, BlueNoroff sfrutta intelligenza artificiale generativa per accelerare lo sviluppo del malware, migliorare la scrittura del codice e perfezionare i meccanismi di esfiltrazione. L’AI contribuisce a rendere le varianti più complesse da rilevare e a ridurre i costi operativi.
“Rispetto alle campagne precedenti, questi attacchi non mirano solo al furto di criptovalute o credenziali. L’uso dell’AI ha ampliato la scala e la precisione delle operazioni,” ha dichiarato Omar Amin, Senior Security Researcher del GReAT. “La nostra analisi vuole fornire strumenti utili per prevenire danni e anticipare future evoluzioni del gruppo.”
Difendersi da GhostCall e GhostHire
Nel report pubblicato su Securelist.com, Kaspersky raccomanda di:
- Verificare l’identità di nuovi contatti e investitori, soprattutto su Telegram e LinkedIn, e di usare solo canali verificati per comunicazioni sensibili.
- Diffidare da file, link o script inviati tramite messaggi diretti, anche se provenienti da contatti conosciuti.
- Adottare le soluzioni della linea Kaspersky Next, che offrono protezione EDR/XDR e monitoraggio in tempo reale per le aziende.
- Valutare servizi gestiti come Managed Detection and Response (MDR) o Incident Response, che garantiscono supporto completo nel ciclo di gestione degli incidenti.
- Fornire ai team di sicurezza accesso alla Threat Intelligence aggiornata per una visibilità completa sulle minacce emergenti.
