Cisco Talos har identificeret en kampagne af cyberangreb fra den Nordkorea-associerede hackergruppe Famous Chollima. Angrebene bruger falske jobannoncer, der er rettet mod kryptovalutaentusiaster.
Gruppen lokker med jobmuligheder, hvor erfaring med at arbejde med kryptovaluta efterspørges, og hvor annoncerne hævder at være til job hos kendte kryptovirksomheder som f.eks. Coinbase, Bueblok og Uniswap. De, der udsættes for angrebet, modtager et link til et jobopslag og en invitationskode. Siden, hvor annoncen er placeret, er designet som en flertrinsproces, hvor brugeren bliver bedt om at gennemføre forskellige tests og også give personlige oplysninger.

Som det sidste trin i processen bliver du bedt om at optage en kort video til intervieweren, og brug computerens webcam. Da ansøgeren er ved at give webstedet adgang til kameraet, vises en fejlmeddelelse, der beder ansøgeren om at "opdatere sine drivere" – men hvis de følger instruktionerne, downloader de i stedet en trojansk fil.

Angrebene er blevet fulgt siden sommeren 2024 og er rettet mod både Windows- og MacOS-brugere. I maj 2025 blev en ny variant af opdaget trojansk software som er baseret på programmeringssproget Python, hvilket indikerer, at kampagnen og metodologien fortsat er aktive og under udvikling.

Udover at installere skadelig software på ansøgernes computere har Famous også Chollima brugte de oplysninger, der blev givet under "interviewprocessen", og som blev stjålet fra kaprede enheder, til at skabe falske identiteter. Disse bruges til at infiltrere forskellige virksomheder ved at søge rigtige fjernjobs hos dem.








