Cisco Talos on tunnistanut Pohjois-Koreaan kytköksissä olevan hakkeriryhmän Famous Cholliman kyberhyökkäyskampanjan. Hyökkäyksissä käytetään väärennettyjä työpaikkailmoituksia ja kohdistetaan niitä kryptovaluuttojen harrastajiin.
Ryhmä houkuttelee työmahdollisuuksilla, joissa pyydetään kokemusta kryptovaluuttojen kanssa työskentelystä ja joissa ilmoitusten väitetään tarjoavan työpaikkoja tunnetuissa kryptoalan yrityksissä, kuten Coinbase, Kaarilohko ja Vaihda pois. Hyökkäyksen kohteeksi joutuneet saavat linkin työpaikkailmoitukseen ja kutsukoodin. Sivusto, jolla ilmoitus sijaitsee, on suunniteltu monivaiheiseksi prosessiksi, jossa käyttäjää pyydetään suorittamaan erilaisia testejä ja antamaan myös henkilökohtaisia tietoja.

Prosessin viimeisenä vaiheena sinua pyydetään tallentamaan lyhyt video haastattelijalle, ja käytä tietokoneen web-kameraa. Kun hakija on antamassa sivustolle pääsyn kameraan, näkyviin tulee virheilmoitus, jossa hakijaa pyydetään "päivittämään ajurit" – mutta jos hän noudattaa ohjeita, hän lataa sen sijaan troijalaisen tiedoston.

Hyökkäyksiä on seurattu kesästä lähtien. 2024 ja on suunnattu sekä Windows- ja MacOS-käyttäjät. Toukokuussa 2025 löydettiin uusi variantti troijalainen ohjelmisto joka perustuu Python-ohjelmointikieleen, mikä osoittaa, että kampanja ja menetelmät ovat edelleen aktiivisia ja kehittyviä.

Haittaohjelmien asentamisen lisäksi hakijoiden tietokoneille Famous on myös Chollima käytti "haastatteluprosessin" aikana annettuja tietoja, jotka varastettiin kaapatuilta laitteilta, väärennettyjen henkilöllisyyksien luomiseen. Näitä käytetään soluttautumiseen eri yrityksiin hakemalla niiltä oikeita etätöitä.








