عوامل تهدید مرتبط با کره شمالی، بخشهای Web3 و بلاکچین را به عنوان بخشی از کمپینهای دوگانهای که با نامهای GhostCall و GhostHire ردیابی میشوند، هدف قرار میدهند.
به گفته کسپرسکی، این کمپینها بخشی از یک عملیات گستردهتر به نام SnatchCrypto هستند که حداقل از سال ۲۰۱۷ در حال انجام است. این فعالیت به یک زیرگروه از گروه Lazarus به نام BlueNoroff نسبت داده شده که با نامهای APT38، CageyChameleon، CryptoCore، Genie Spider، Nickel Gladstone ،TA444 ،Sapphire Sleet (Copernicium سابق) و Stardust Chollima نیز شناخته میشود. کمپین GhostCall عمدتاً کاربران macOS را در شرکتهای فناوری و شرکتهای سرمایهگذاری خطرپذیر شامل چندین میزبان macOS آلوده واقع در ژاپن، ایتالیا، فرانسه، سنگاپور، ترکیه، اسپانیا، سوئد، هند و هنگ کنگ، از طریق سشنهای جعلی مرتبط با سرمایهگذاری هدف قرار میدهد. GhostCall با نزدیک شدن مستقیم به اهداف از طریق پلتفرمهایی مانند تلگرام و دعوت از قربانیان بالقوه به سشنهای مرتبط با سرمایهگذاری مرتبط با وبسایتهای فیشینگ مشابه Zoom، به شدت دستگاههای macOS مدیران شرکتهای فناوری و بخش سرمایهگذاری خطرپذیر را هدف قرار میدهد. GhostHire نیز، با استفاده از فرآیندهای استخدام جعلی بر توسعهدهندگان Web3 تمرکز دارد و قربانیان آن ژاپن و استرالیا بوده است.
https://securelist.com/bluenoroff-apt-campaigns-ghostcall-and-ghosthire/117842/
https://thehackernews.com/2025/10/researchers-expose-ghostcall-and.html
https://cybersecuritynews.com/bluenoroff-hackers-adopts-new-infiltration-strategies/
