Cisco Talos heeft een reeks cyberaanvallen geïdentificeerd door de Noord-Koreaanse hackersgroep Famous Chollima. De aanvallen maken gebruik van nepvacatures, gericht op cryptoliefhebbers.

De groep lokt met vacatures waarbij ervaring in het werken met cryptovaluta wordt gevraagd en waarbij de advertenties beweren dat het gaat om banen bij bekende cryptobedrijven zoals Coinbase, Boogblok En Uniswap. Wie aan de aanval wordt blootgesteld, ontvangt een link naar een vacature en een uitnodigingscode. De website waarop de advertentie staat, is ontworpen als een meerstappenproces waarbij de gebruiker wordt gevraagd verschillende tests te voltooien en persoonlijke informatie te verstrekken.

Als laatste stap in het proces wordt u gevraagd een korte video op te nemen voor de interviewer, en gebruik de webcam van de computer. Wanneer de aanvrager de site toegang tot de camera wil geven, verschijnt er een foutmelding met het verzoek om de drivers bij te werken. Als de aanvrager de instructies volgt, downloadt hij in plaats daarvan een Trojaans bestand.

Advertentie

De aanvallen worden sinds de zomer van 2024 gevolgd en zijn gericht op zowel Windows- en MacOS-gebruikers. In mei 2025 werd een nieuwe variant van ontdekt trojan-software die gebaseerd is op de programmeertaal Python, wat aangeeft dat de campagne en de methodologie actief blijven en zich blijven ontwikkelen.  

Naast het installeren van schadelijke software op de computers van de aanvragers heeft Famous ook Chollima Gebruikte de informatie die tijdens het sollicitatieproces werd verstrekt, en die van gehackte apparaten was gestolen, om valse identiteiten te creëren. Deze worden gebruikt om verschillende bedrijven te infiltreren door te solliciteren naar echte functies op afstand.