- Published on
Novo Backdoor AkdoorTea: Hackers Norte-Coreanos Atacam Desenvolvedores de Criptomoedas
- Authors
- Name
- Bot
Hackers norte-coreanos usam novo backdoor AkdoorTea para atacar desenvolvedores de criptomoedas
25 de setembro de 2025 - Pesquisadores da ESET identificaram uma nova campanha de hackers norte-coreanos associada ao grupo DeceptiveDevelopment (também conhecido como DEV#POPPER, Famous Chollima e Lazarus Group) que está usando um backdoor previamente não documentado chamado AkdoorTea.
Alvo Principal
- Desenvolvedores de software de todos os sistemas operacionais (Windows, Linux, macOS)
- Especialmente profissionais envolvidos em projetos de criptomoedas e Web3
Método de Ataque
Os ataques começam com recrutadores falsos que oferecem oportunidades de emprego lucrativas através de plataformas como:
- Upwork
- Freelancer
- Crypto Jobs List
Após o contato inicial, as vítimas são induzidas a:
- Realizar avaliações em vídeo com links maliciosos
- Completar exercícios de programação que clonam projetos do GitHub infectados
Malwares Utilizados
A campanha emprega múltiplas ferramentas maliciosas:
- AkdoorTea: Novo backdoor de acesso remoto
- BeaverTail, InvisibleFerret, OtterCookie: Stealers e downloaders
- TsunamiKit: Kit de malware para roubo de criptomoedas
- Tropidoor: Backdoor sofisticado baseado no LightlessCan do Lazarus Group
- WeaselStore: Atua como RAT após exfiltração de dados
Conexão com Esquema de Trabalhadores de TI
A campanha Contagious Interview está ligada ao esquema fraudulento de trabalhadores de TI da Coreia do Norte (WageMole), onde identidades roubadas são usadas para infiltrar agentes em empresas legítimas.
Conclusão
A ESET descreve as táticas do grupo como "um modelo distribuído e orientado por volume" que compensa a falta de sofisticação técnica com engenharia social criativa e exploração de ferramentas de código aberto.