PurpleBravo-Angriffskampagne
Analysten für Bedrohungsdaten haben 3.136 IP-Adressen identifiziert, die mit wahrscheinlichen Zielen der Kampagne „Contagious Interview“ in Verbindung stehen. Die Operation betrifft mutmaßlich 20 potenzielle Opferorganisationen aus den Bereichen Künstliche Intelligenz, Kryptowährungen, Finanzdienstleistungen, IT-Dienstleistungen, Marketing und Softwareentwicklung. Betroffene Unternehmen sind in Europa, Südasien, dem Nahen Osten und Mittelamerika vertreten, was die globale Reichweite der Aktivität unterstreicht.
Die IP-Adressen, die sich größtenteils in Südasien und Nordamerika konzentrieren, wurden schätzungsweise zwischen August 2024 und September 2025 angegriffen. Die betroffenen Unternehmen haben ihren Sitz Berichten zufolge in Belgien, Bulgarien, Costa Rica, Indien, Italien, den Niederlanden, Pakistan, Rumänien, den Vereinigten Arabischen Emiraten und Vietnam.
Inhaltsverzeichnis
PurpleBravo: Ein produktiver nordkoreanischer Bedrohungscluster
Die Aktivitäten werden einem nordkoreanisch-nahen Cluster zugeschrieben, der unter dem Namen PurpleBravo geführt wird und erstmals Ende 2023 dokumentiert wurde. Diese Gruppe ist in der Sicherheitsgemeinschaft unter verschiedenen Bezeichnungen bekannt, was die breite Branchenbeobachtung widerspiegelt:
CL-STA-0240, DeceptiveDevelopment, DEV#POPPER, Famous Chollima, Gwisin Gang, Tenacious Pungsan, UNC5342, Void Dokkaebi und WaterPlum
PurpleBravo hat nachhaltige Investitionen in langfristige Infrastruktur, Social-Engineering-Techniken und Malware-Entwicklung demonstriert, die mit Zielen übereinstimmen, die Cyberspionage und Finanzdiebstahl miteinander verbinden.
Nutzung des Einstellungsprozesses und des Entwickler-Ökosystems
Jüngste Erkenntnisse folgen auf die Aufdeckung einer bedeutenden Weiterentwicklung der „Contagious Interview“-Kampagne, bei der Angreifer manipulierte Microsoft Visual Studio Code-Projekte nutzen, um Hintertüren einzuschleusen. Diese Taktik missbraucht bewährte Entwicklerwerkzeuge und -abläufe und erhöht so die Wahrscheinlichkeit eines erfolgreichen Angriffs.
Forscher haben gefälschte LinkedIn-Profile identifiziert, die sich als Entwickler und Personalvermittler ausgeben und behaupten, aus Odessa, Ukraine, zu operieren. Parallel dazu wurden schädliche GitHub-Repositories entdeckt, die Malware wie BeaverTail verbreiten. In mehreren Fällen führten Jobsuchende Berichten zufolge Schadcode auf firmeneigenen Geräten aus, wodurch die Kompromittierung über Einzelpersonen hinaus direkt in Unternehmensnetzwerke vordrang.
Malware-Arsenal und Kommandoinfrastruktur
PurpleBravo betreibt separate Kommando- und Kontrollinfrastrukturen zur Unterstützung mehrerer Malware-Familien. Dazu gehören BeaverTail, ein JavaScript-basierter Infostealer und Loader, sowie GolangGhost (auch bekannt als FlexibleFerret oder WeaselStore), eine Go-basierte Backdoor, die vom Open-Source-Projekt HackBrowserData abgeleitet ist.
Die C2-Server der Gruppe sind auf 17 Hosting-Anbieter verteilt und werden über Astrill VPN verwaltet. Die Managementaktivitäten lassen sich auf IP-Adressbereiche in China zurückverfolgen. Der Einsatz von Astrill VPN wurde bereits bei früheren nordkoreanischen Cyberoperationen wiederholt dokumentiert, was die Zuordnung der Operationen untermauert.
Konvergenz mit der Bedrohung durch den „Lohnmaulwurf“ unter den IT-Arbeitern
Die Operation „Contagious Interview“ wird als Ergänzung zu einer separaten, aber damit zusammenhängenden Kampagne namens „Wagemole“ (PurpleDelta) betrachtet. Bei dieser Operation verschaffen sich nordkoreanische IT-Fachkräfte unter gestohlenen oder gefälschten Identitäten unerlaubte Beschäftigungsverhältnisse, vorwiegend um Einnahmen zu generieren und Spionage zu betreiben. Obwohl „Wagemole“ seit 2017 aktiv ist und als eigenständige Gruppe verfolgt wird, haben die Ermittler bemerkenswerte taktische und infrastrukturelle Überschneidungen festgestellt.
Zu den beobachteten Verbindungen gehören PurpleBravo-Operatoren, die ein Verhalten zeigen, das mit nordkoreanischen IT-Fachkräften übereinstimmt, russische IP-Adressen, die mit bekannten IT-Fachkräfteaktivitäten in Verbindung stehen und mit der PurpleBravo-Infrastruktur kommunizieren, sowie gemeinsam genutzte Astrill-VPN-Knoten, die mit beiden Clustern verbunden sind.
Eskalierendes Lieferketten- und Unternehmensrisiko
Besonders besorgniserregend ist der Einsatz gefälschter Stellenangebote, um Kandidaten zur Bearbeitung von Programmieraufgaben auf firmeneigenen Systemen zu verleiten. Dadurch wird ein Rekrutierungsbetrug zu einem Einfallstor für Unternehmensangriffe. Dies zeigt, dass die Software- und IT-Lieferkette selbst abseits der vielbeachteten Beschäftigungsprogramme für IT-Fachkräfte äußerst anfällig für Angriffe ist.
Viele der angegriffenen Organisationen weisen große Kundenstämme auf, was das Risiko einer Kompromittierung der Lieferkette erhöht. Sicherheitsexperten warnen, dass neben der großen Aufmerksamkeit, die der Bedrohung durch nordkoreanische IT-Mitarbeiter zuteilwurde, das PurpleBravo-Modell der Lieferketteninfiltration die gleiche Priorität verdient. Organisationen werden dringend aufgefordert, ihre Einstellungsprozesse, die Kontrolle der Entwicklerumgebung und das Risikomanagement von Drittanbietern zu verbessern, um die Offenlegung sensibler Daten durch nordkoreanische Bedrohungsakteure zu erkennen, zu unterbinden und zu verhindern.
