Il panorama delle minacce informatiche è in continua evoluzione e tra i principali attori si trovano i gruppi di hacker nordcoreani, noti per la loro sofisticazione e capacità di adattamento. Recentemente, è stata osservata una significativa evoluzione nelle loro tecniche, in particolare attraverso la fusione delle funzionalità di due malware distinti, BeaverTail e OtterCookie, ora integrati in una versione avanzata denominata OtterCookie v5.

Strategia e nuove funzionalità

Questa combinazione indica una strategia di raffinamento degli strumenti da parte del gruppo, noto anche come CL-STA-0240 o Famous Chollima. OtterCookie, inizialmente concepito come malware capace di ricevere comandi da server remoti, si è arricchito di nuovi moduli per il keylogging e la cattura di screenshot, sfruttando pacchetti npm legittimi come node-global-key-listener e screenshot-desktop per sottrarre informazioni sensibili e inviarle ai server di comando e controllo.

Innovazione: la tecnica EtherHiding

Un aspetto particolarmente innovativo di questa campagna è l’adozione della tecnica EtherHiding. Gli attaccanti utilizzano blockchain come Binance Smart Chain ed Ethereum per ospitare e recuperare i payload successivi, rendendo la loro infrastruttura C2 resiliente e difficile da contrastare. Si tratta del primo caso documentato in cui un attore statale impiega una tecnica già nota nell’ambiente cybercriminale.

Metodi di diffusione

La diffusione del malware avviene spesso tramite campagne di finti colloqui di lavoro, note come Contagious Interview, in cui le vittime sono indotte a scaricare e installare applicazioni Node.js trojanizzate, come Chessfi, distribuite tramite repository come Bitbucket e npm. Solo nel caso del pacchetto “node-nvm-ssh”, pubblicato su npm nell’agosto 2025, si sono registrati oltre 300 download prima che venisse rimosso.

Modularità e capacità di OtterCookie v5

OtterCookie v5 si distingue per la sua modularità: include moduli per l’esfiltrazione di dati da wallet di criptovalute, il monitoraggio della clipboard, il caricamento sistematico di file di interesse (come backup o wallet) e la ricezione di comandi remoti tramite socket.io-client. Non manca la capacità di installare strumenti di accesso remoto come AnyDesk e di scaricare ulteriori backdoor, come InvisibleFerret, aumentando l’arsenale a disposizione degli attaccanti.

Evoluzione e sperimentazione nella filiera

La presenza di moduli sia di BeaverTail che di OtterCookie in artefatti come estensioni Visual Studio Code malevole suggerisce ulteriori esperimenti nella catena di distribuzione del malware. L’evoluzione di OtterCookie riflette una tendenza netta verso strumenti sempre più integrati e difficili da rilevare, con un’attenzione particolare al furto di dati finanziari e personali tramite strategie supply chain.