Duas campanhas atribuídas ao grupo de ameaça persistente avançada (APT) BlueNoroff, considerado um subgrupo do Lazarus, têm como alvo desenvolvedores e executivos da indústria de criptomoedas. As operações, batizadas GhostCall e GhostHire, foram detalhadas por especialistas da Kaspersky Global Research and Analysis Team (GReAT) durante o Security Analyst Summit 2025.
De acordo com a Kaspersky, o BlueNoroff atua com foco em ganhos financeiros e tem direcionado seus ataques a organizações ligadas à blockchain. Os alvos são cuidadosamente selecionados, e cada ofensiva é precedida por uma preparação minuciosa. Apesar de utilizarem abordagens distintas, GhostCall e GhostHire compartilham uma infraestrutura de gerenciamento comum, o que levou os pesquisadores a analisá-las em conjunto.
Ghostcall?
A campanha GhostCall tem como principal alvo executivos de diversos setores. O ataque começa com uma estratégia sofisticada de engenharia social: os criminosos se passam por investidores e utilizam, em alguns casos, contas roubadas e trechos reais de videochamadas para ganhar credibilidade. As vítimas são levadas a sites falsos que imitam plataformas como Microsoft Teams ou Zoom, onde são induzidas a baixar supostas atualizações. O arquivo malicioso permite o roubo de criptomoedas, credenciais e informações sensíveis. O macOS é o principal alvo dos atacantes, devido à popularidade dos dispositivos Apple entre executivos.
GhostHire?
Já a campanha GhostHire é direcionada a desenvolvedores de blockchain. Nesse caso, os atacantes utilizam falsas ofertas de emprego com condições atraentes. Durante o processo seletivo, a vítima recebe, via Telegram, um link para o GitHub ou para um arquivo compactado contendo uma “tarefa de teste” com prazo curto. Ao executar o material, o desenvolvedor acaba infectando o próprio sistema com malware.
A Kaspersky alerta que, embora os ataques sejam altamente direcionados, a proteção depende principalmente das equipes de segurança corporativa. Entre as recomendações estão o treinamento contínuo dos funcionários em técnicas de engenharia social e o uso de soluções de segurança atualizadas em todos os dispositivos corporativos.
Imagem: Blog Kaspersky
