Este blogpost apresenta nosso mais recente white paper, divulgado no Virus Bulletin 2025, no qual detalhamos as operações do grupo cibercriminoso vinculado à Coreia do Norte, denominado DeceptiveDevelopment, e suas conexões com campanhas voltadas a profissionais de TI norte-coreanos. O relatório fornece todos os detalhes técnicos, incluindo a análise de malware, da infraestrutura e dos achados de OSINT. Aqui, resumimos as principais conclusões e destacamos as implicações mais amplas dessa ameaça híbrida.
Principais pontos deste post:
- As operações se concentram principalmente em métodos de engenharia social.
- O conjunto de ferramentas do DeceptiveDevelopment é em sua maioria multiplataforma, composto por scripts maliciosos iniciais ofuscados em Python e JavaScript, backdoors básicos em Python e Go, e um projeto na dark web desenvolvido em .NET.
- Fornecemos informações sobre detalhes operacionais dos profissionais de TI norte-coreanos, como atribuições de trabalho, horários, comunicação com clientes etc., obtidas a partir de fontes públicas.
- Backdoors nativos de Windows, mais complexos, são utilizados ocasionalmente na cadeia de execução e provavelmente são compartilhados com outros cibercriminosos alinhados à Coreia do Norte.
- DeceptiveDevelopment e os profissionais de TI norte-coreanos têm objetivos e meios diferentes, mas são considerados estreitamente relacionados.
Introdução
Examinamos o grupo DeceptiveDevelopment e as atividades denominadas WageMole como duas instituições alinhadas à Coreia do Norte e estreitamente conectadas. O termo WageMole foi adotado para se referir às atividades dos profissionais de TI norte-coreanos. Embora as campanhas de ambos sejam motivadas por ganhos econômicos, cada grupo desempenha um papel distinto e complementar em relação ao outro:
- Os operadores do DeceptiveDevelopment se passam por recrutadores e utilizam ofertas de emprego falsas para comprometer os sistemas dos candidatos.
- Em seguida, os profissionais de TI norte-coreanos utilizam as informações obtidas pelos operadores do DeceptiveDevelopment para se fazer passar por candidatos a emprego. Para garantir a obtenção de uma posição real, podem empregar várias táticas, incluindo entrevistas por intermediários (proxy interviews), uso de identidades roubadas e criação de identidades sintéticas com ferramentas baseadas em IA.
Em primeiro lugar, fornecemos um catálogo de ferramentas multiplataforma usadas pelo DeceptiveDevelopment, desde scripts simples porém ofuscados como BeaverTail e InvisibleFerret até um conjunto de ferramentas mais complexo, TsunamiKit, centrado em um backdoor em .NET. Também revelamos vínculos específicos entre backdoors mais sofisticados usados pelo DeceptiveDevelopment, como AkdoorTea e Tropidoor, e outras operações APT alinhadas à Coreia do Norte. Em seguida, descrevemos aspectos interessantes do modus operandi dos profissionais de TI norte-coreanos, obtidos a partir de fontes públicas, principalmente dados expostos involuntariamente, relatos de vítimas e pesquisas de investigadores independentes.
DeceptiveDevelopment
O DeceptiveDevelopment é um grupo alinhado à Coreia do Norte, ativo desde pelo menos 2023 e focado em ganho econômico. Suas atividades se sobrepõem às observadas nas operações Contagious Interview, DEV#POPPER e Void Dokkaebi. O grupo mira desenvolvedores de software para os principais sistemas, como Windows, Linux e macOS, com ênfase em projetos de criptomoedas e Web3. O acesso inicial é obtido exclusivamente por meio de técnicas de engenharia social, como ClickFix, e por meio de perfis falsos de recrutadores semelhantes à operação DreamJob do Lazarus, usados para entregar bases de código troyanizadas durante entrevistas de emprego encenadas. Seus payloads mais comuns incluem infostealers como BeaverTail, OtterCookie e WeaselStore, além da RAT modular InvisibleFerret.
Estratégia de ataque
Os operadores do DeceptiveDevelopment usam vários métodos para comprometer suas vítimas, baseados em artimanhas de engenharia social. Por meio de perfis falsos e sequestrados, se passam por recrutadores em plataformas como LinkedIn, Upwork, Freelancer e Crypto Jobs List, oferecendo falsas oportunidades de trabalho lucrativas para atrair os alvos.
Eles solicitam que as vítimas participem de um desafio de codificação ou de uma tarefa pré-entrevista, que normalmente envolve o download de um projeto hospedado em repositórios privados do GitHub, GitLab ou Bitbucket. Esses repositórios contêm código troyanizado, muitas vezes oculto habilmente em longos comentários que aparecem além da borda direita da janela do navegador ou do editor de código. A execução da tarefa desencadeia a ativação do BeaverTail, o malware de primeira fase.
Além dessas contas falsas de recrutadores, foi observada a incorporação de uma nova técnica de engenharia social conhecida como ClickFix. O uso do ClickFix em conexão com o DeceptiveDevelopment foi reportado pela primeira vez pela Sekoia.io em março de 2025, quando o grupo o empregou como método de acesso inicial em sistemas macOS e Windows; em setembro de 2025, o GitLab detectou seu uso também em sistemas Linux.
Os cibercriminosos direcionam a vítima a um site falso de entrevistas de emprego que contém um formulário de inscrição que deve ser preenchido. O formulário traz várias perguntas extensas sobre identidade e qualificações do candidato, o que leva a vítima a dedicar tempo e esforço ao preenchimento e a sentir que está quase concluindo, tornando-a mais suscetível à armadilha.
No passo final da inscrição, pede-se que a vítima grave um vídeo respondendo à última pergunta. O site exibe uma janela pop-up solicitando permissão para acessar a câmera, embora na verdade ela nunca seja acessada. Em vez disso, surge uma mensagem de erro informando que o acesso à câmera ou ao microfone está bloqueado e oferecendo um link "Como resolver". Esse link abre uma nova janela pop-up que aplica a técnica de engenharia social ClickFix.
Dependendo do sistema operacional, a vítima é instruída a abrir um terminal e copiar e colar um comando que supostamente resolveria o problema. No entanto, em vez de habilitar a câmera, o comando baixa e executa malware.
Conjunto de ferramentas
BeaverTail e InvisibleFerret
O primeiro indício de atividade do DeceptiveDevelopment ocorreu em novembro de 2023, quando a Unit 42 reportou a campanha Contagious Interview. Posteriormente, essa campanha foi associada ao grupo. A Unit 42 batizou as duas famílias de malware usadas na operação como BeaverTail e InvisibleFerret.
Documentamos essa campanha com mais detalhes em um post publicado em fevereiro de 2025, analisando como o ator de ameaças faz uso dessas duas famílias de malware.
BeaverTail é um infostealer e downloader simples que coleta dados de criptocarteiras, keychains e credenciais salvas em navegadores. Observamos variantes desse malware escritas em JavaScript, ocultas em falsos desafios de emprego, e também implementações em C++ que usam o framework Qt e se disfarçam como softwares de videoconferência. Sua função principal é baixar o malware de segunda fase, InvisibleFerret.
No fim de 2024 surgiu uma família de malware com funcionalidade semelhante à do BeaverTail: a NTT Security a apelidou de OtterCookie. OtterCookie é escrita em JavaScript e emprega técnicas de ofuscação muito parecidas. Acreditamos que OtterCookie represente uma evolução do BeaverTail e que alguns times dentro do DeceptiveDevelopment já a utilizem em substituição ao BeaverTail antigo, enquanto outros continuam a usar e modificar o código-base original.
InvisibleFerret é um malware modular escrito em Python, com capacidades de infostealer superiores às do BeaverTail, e também capaz de oferecer controle remoto aos cibecriminosos. Normalmente é composto por quatro módulos:
- Um módulo de roubo de dados do navegador, que extrai e exfiltra credenciais, dados salvos pelos navegadores e informações de cryptocarteiras.
- Um módulo de payload, que funciona como um trojan de acesso remoto (RAT).
- Um módulo de área de transferência, com funcionalidades de keylogging e monitoramento do clipboard; em alguns casos ele é distribuído como parte do módulo de payload.
- Um módulo AnyDesk, que instala e executa a ferramenta de acesso remoto AnyDesk para permitir acesso direto do cibercriminoso à máquina comprometida.
WeaselStore
À medida que o DeceptiveDevelopment evoluía e passou a incluir mais equipes em suas operações, esses times começaram a alterar o código-base para atender às próprias necessidades e introduziram novas ferramentas de malware. Um exemplo é uma campanha investigada pela ESET em agosto de 2024. Além dos malwares convencionais BeaverTail e InvisibleFerret, a equipe responsável pela campanha implantou o que acreditamos ser um malware novo, que batizamos de WeaselStore.
WeaselStore (também chamado GolangGhost e FlexibleFerret) é um infostealer multiplataforma escrito em Go. Em maio de 2025, a Cisco Talos relatou que o WeaselStore estava sendo reescrito em Python, e chamou essa variante de PylangGhost. Como a implementação é idêntica, por simplicidade nos referiremos a ambas como WeaselStore neste post.
A funcionalidade do WeaselStore é bastante semelhante à do BeaverTail e do InvisibleFerret, concentrando
O aspecto mais interessante do WeaselStore em Go é que ele é entregue ao sistema da vítima na forma de código-fonte Go, acompanhado dos binários do ambiente Go necessários para compilá-lo e executá-lo, o que permite que o malware atinja os três principais sistemas operacionais: Windows, Linux e macOS (ver Figura 1). O mecanismo de instalação varia conforme o sistema operacional da vítima, mas em todos os casos a cadeia termina com o download do código-fonte Go do WeaselStore e sua posterior compilação e execução usando um ambiente de compilação Go que também é fornecido junto ao programa.
TsunamiKit
Em novembro de 2024, uma nova versão do InvisibleFerret passou a incluir um módulo de roubo de dados do navegador modificado. Esse módulo, além de suas funções habituais, contém um grande bloco codificado inédito cuja primeira etapa da cadeia de execução desencadeia um conjunto totalmente novo de ferramentas de malware, também orientadas ao roubo de informação e de criptomoedas. Denominamos esse kit de ferramentas TsunamiKit, em referência ao uso recorrente do termo "Tsunami" nos nomes dos seus componentes (ver Tabela 1).
A ameaça foi tornada pública por Alessio Di Santo em novembro de 2024 e posteriormente reportada pela Bitdefender em fevereiro de 2025; nosso relatório adiciona contexto ao situá
Tabela 1. Componentes da cadeia de execução do TsunamiKit.
| Component name | Description |
| TsunamiLoader | The initial stage, obfuscating and dropping TsunamiInjector. It contains a quote Sometimes you never know the value of a moment until it becomes a memory, often attributed to Dr. Seuss. |
| TsunamiInjector | Downloader of TsunamiInstaller. Also drops TsunamiHardener. |
| TsunamiHardener* | Referred to as TsunamiPayload in the code. Sets up persistence for TsunamiClient, and Microsoft Defender exclusions for TsunamiClient and the XMRig miner (one of TsunamiClient’s components). |
| TsunamiInstaller | .NET dropper of TsunamiClientInstaller and a Tor proxy. |
| TsunamiClientInstaller* | Fingerprints the system; downloads and executes TsunamiClient. |
| TsunamiClient | Complex .NET spyware; drops XMRig and NBMiner. |
* These components were originally both named TsunamiPayload; we have renamed them to avoid any confusion.
PostNapTea e Tropidoor
No decorrer de nossa investigação, descobrimos uma evidência interessante que vincula ainda mais o grupo DeceptiveDevelopment à Coreia do Norte. Em abril de 2025, pesquisadores da Ahnlab relataram projetos do Bitbucket comprometidos que continham BeaverTail e um downloader de 64 bits chamado car.dll ou img_layer_generate.dll. Enquanto o BeaverTail, como esperado, fazia o download do InvisibleFerret, esse novo downloader recuperava um payload em memória que a Ahnlab chamou de Tropidoor. Percebemos que o Tropidoor compartilha grandes trechos de código com o PostNapTea, um RAT do Lazarus distribuído por meio de exploits contra alvos sul-coreanos em 2022. A Tabela 2 apresenta uma comparação entre ambas os payloads.
Tabela 2. Comparação dos payloads do Tropidoor (DeceptiveDevelopment) e PostNapTea (Lazarus). Os asteriscos indicam o país de um envio ao VirusTotal.
| Tropidoor | PostNapTea | |
| First seen | 2024-11-28 | 2022-02-25 |
| Targeted countries | Kenya*, Colombia*, Canada* | South Korea |
| Initial Access | Social engineering | Exploitation |
| Hash-based resolution of Windows APIs | Fowler–Noll–Vo | Fowler–Noll–Vo |
| String encryption | Plain + XOR-based | XOR-based |
| Encryption for network communication | Base64 + AES-128 | Base64 + AES-128 |
| Project | C DLL | MFC C++ DLL |
| Type of commands | Internal implementation of Windows commands | Internal implementation of Windows commands |
| Building environment | Visual Studio 2019, v16.11 | Visual Studio 2017, v15.9 |
| Configuration format | Binary | JSON |
| User-Agent (differences in reversed color) | Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/112.0.0.0 Safari/537.36 Edg/112.0.1722.64 | Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.114 Safari/537.36 |
O Tropidoor é o payload mais sofisticado até agora vinculada ao grupo DeceptiveDevelopment, provavelmente porque se baseia em malware desenvolvido por cibercriminosos mais avançados tecnicamente, sob o guarda-chuva do Lazarus. Alguns dos comandos suportados são mostrados na Figura 2.
Novas descobertas
Desde a publicação do nosso white paper, identificamos novos achados que reforçam ainda mais a conexão entre a atividade do DeceptiveDevelopment e outros ciberataques alinhados à Coreia do Norte.
Descobrimos que o projeto TsunamiKit remonta, pelo menos, a dezembro de 2021, quando foi enviado ao VirusTotal com o nome Nitro Labs.zip. Um de seus componentes contém o caminho PDB: E:\Programming\The Tsunami Project\Malware\C#\C# Tsunami Dist Version 3.0.0\CTsunami\obj\Release\netcoreapp3.1\win-x64\\System Runtime Monitor.pdb.
Chegamos à conclusão de que o TsunamiKit é provavelmente uma modificação de um projeto da dark web, em vez de uma criação inédita por parte dos cibercriminosos. Essa análise se baseia no fato de que o TsunamiKit é muito anterior ao início aproximado da atividade do DeceptiveDevelopment em 2023, de que foram observados payloads semelhantes ao TsunamiKit sem qualquer sinal do BeaverTail na telemetria da ESET, e de que a mineração de criptomoedas é uma funcionalidade central do TsunamiKit.
AkdoorTea
Em agosto de 2025, um arquivo BAT chamado ClickFix-1.bat e um arquivo ZIP batizado como nvidiaRelease.zip foram enviados ao VirusTotal. O arquivo BAT apenas baixa o ZIP e executa run.vbs a partir dele. O pacote contém vários JAR legítimos do NVIDIA CUDA Toolkit, juntamente com os seguintes arquivos maliciosos:
- shell.bat: um instalador troyanizado para Node.js, que é executado em seguida.
- main.js: um script BeaverTail ofuscado, carregado automaticamente pelo Node.js.
- drvUpdate.exe: uma RAT com comunicação TCP, à qual damos o codinome AkdoorTea, pois apresenta semelhanças com o Akdoor relatado pelo AlienVault em 2018 (ver Tabela 3). Akdoor é um nome raiz de detecção usado pela Ahnlab e normalmente identifica um payload alinhado à Coreia do Norte.
- run.vbs: um VBScript que executa o instalador troyanizado e o AkdoorTea.
Tabela 3. Comparação das variantes do AkdoorTea e do Akdoor.
| AkdoorTea 2025 | Akdoor 2018 | |
| Distribution name | drvUpdate.exe | splwow32.exe, MMDx64Fx.exe |
| Encryption | Base64 + XOR with 0x49 | Base64 + RC4 |
| Number of supported commands | 5 | 4 |
| C&C | 103.231.75[.]101 | 176.223.112[.]74 164.132.209[.]191 |
| Version | 01.01 | 01.01 |
Uma das diferenças entre o AkdoorTea (2025) e o Akdoor (2018) é a numeração dos comandos (ver Figura 3). Além disso, o comando chamado "versión" agora aparece com o nome "shi".
Profissionais de TI norte-coreanos (também conhecidos como WageMole)
Embora nossa pesquisa sobre o DeceptiveDevelopment se baseie principalmente em dados de telemetria e na engenharia reversa do conjunto de ferramentas do grupo, vale destacar as conexões do DeceptiveDevelopment com as operações falsas realizadas por profissionais de TI norte-coreanos. Essas atividades se sobrepõem à atuação dos grupos criminosos UNC5267 e Jasper Sleet.
As campanhas de profissionais de TI estão em andamento desde pelo menos abril de 2017, segundo uma investigação do FBI, e têm se tornado cada vez mais proeminentes nos últimos anos. Um comunicado conjunto publicado em maio de 2022 descreve essas campanhas como um esforço coordenado de indivíduos alinhados à Coreia do Norte para obter emprego em empresas estrangeiras, utilizando os salários recebidos para financiar o país. Também há indícios de que esses profissionais roubam dados internos das empresas e os usam em esquemas de extorsão, conforme relatado em um comunicado do FBI em janeiro de 2025.
Além de utilizarem a inteligência artificial para executar suas tarefas, esses profissionais recorrem amplamente a essa tecnologia para manipular fotos de perfis e currículos, chegando até mesmo a realizar troca de rostos em entrevistas por vídeo em tempo real, a fim de se parecerem com o personagem assumido no momento. Esse método foi detalhado em uma publicação do blog da Unit 42 em abril de 2025.
Um relatório da DTEX, de maio de 2025, trouxe uma perspectiva metodológica. Ao que tudo indica, os profissionais de TI operam de forma dispersa, com numerosos grupos de trabalhadores, normalmente baseados em países estrangeiros como China, Rússia e nações do sudeste asiático. Cada grupo atua de maneira ligeiramente diferente, mas os objetivos finais e o modus operandi são os mesmos: passar-se por profissionais estrangeiros remotos usando documentos e currículos falsos, e buscar empregos remotos ou trabalhos como freelancers para arrecadar fundos provenientes dos salários.
Análise de dados OSINT
Diversos pesquisadores identificaram vínculos e casos de compartilhamento de informações entre esses profissionais de TI e o DeceptiveDevelopment. Em agosto de 2024, o especialista em cibersegurança Heiner García publicou um estudo mostrando como ambos os grupos compartilham contas de e-mail ou se seguem mutuamente nos perfis do GitHub de falsos recrutadores e dos profissionais de TI. Em novembro de 2024, a Zscaler confirmou que identidades roubadas de vítimas comprometidas são utilizadas pelos golpistas para obter empregos remotos.
Com base nesses dados, é possível afirmar com confiança moderada que, embora essas atividades sejam conduzidas por dois grupos distintos, é bastante provável que eles estejam conectados e colaborando entre si.
Além disso, conseguimos reunir dados de domínio público que detalham o funcionamento interno de alguns dos grupos de profissionais de TI. Coletamos essas informações a partir de múltiplas fontes, com a colaboração significativa de @browsercookies no X, incluindo perfis do GitHub pertencentes aos profissionais de TI, que contêm dados internos acessíveis publicamente e conteúdos compartilhados abertamente por pesquisadores.
Esses dados incluem informações sobre atribuições de trabalho, horários, comunicação com clientes e entre os próprios profissionais, e-mails, diversas fotos usadas em perfis online (tanto reais quanto falsas), currículos falsos e modelos de texto utilizados na busca por empregos. Devido a acordos de compartilhamento de informações, não divulgamos as fontes específicas dos dados utilizados em nossa análise. Exploramos esses detalhes com maior profundidade em nosso white paper e, a seguir, apresentamos um resumo conciso.
A análise dos currículos falsos e dos materiais internos mostra que os profissionais de TI inicialmente buscavam vagas nos Estados Unidos, mas recentemente expandiram seu foco para a Europa, incluindo países como França, Polônia, Ucrânia e Albânia.
Cada grupo é liderado por um "chefe", responsável por definir metas e coordenar o trabalho. Os membros dedicam entre 10 e 16 horas diárias para conseguir empregos, completar tarefas e se autoformar, principalmente em programação web, blockchain, inglês e integração de IA.
Eles mantêm um acompanhamento meticuloso de suas atividades e utilizam identidades, currículos e carteiras digitais falsos para se candidatar a empregos. A comunicação com os empregadores segue respostas padronizadas para transmitir qualificação.
Além disso, recorrem a roteiros pré-fabricados para recrutar pessoas reais como representantes, oferecendo uma parte do salário para que assistam entrevistas ou hospedem dispositivos de trabalho em países considerados menos suspeitos. Em um caso específico, desenvolvedores ucranianos foram alvos devido às vantagens percebidas na contratação.
Conclusão
As TTPs do DeceptiveDevelopment exemplificam um modelo de operação distribuído e baseado em volume. Embora o grupo frequentemente careça de sofisticação técnica, compensa essa limitação com escala e criatividade em engenharia social. Suas campanhas revelam um enfoque pragmático, explorando ferramentas de código aberto, reutilizando projetos disponíveis na dark web, adaptando malware possivelmente alugado de outros grupos alinhados à Coreia do Norte e explorando vulnerabilidades humanas por meio de falsas ofertas de trabalho e plataformas de entrevistas.
As atividades dos profissionais de TI norte-coreanos configuram uma ameaça híbrida. Esse esquema de fraude sob encomenda combina operações criminais clássicas, como roubo de identidade e fraude de identidade sintética, com ferramentas digitais, classificando-o tanto como crime tradicional quanto como cibercrime. As entrevistas por intermediários representam um risco significativo para os empregadores, já que um funcionário ilegítimo contratado em um país sancionado não apenas pode ser negligente ou apresentar baixo desempenho, mas também pode se tornar uma ameaça interna perigosa.
Nossas descobertas também destacam a linha tênue que separa as atividades de APTs e a cibercriminalidade, especialmente na sobreposição entre as campanhas de malware do DeceptiveDevelopment e as operações dos profissionais de TI norte-coreanos. Essas táticas de uso duplo, que combinam roubo cibernético e ciberespionagem com esquemas de fraude laboral fora do ambiente digital, reforçam a necessidade de que os defensores digitais considerem ecossistemas de ameaças mais amplos, em vez de focarem apenas em campanhas isoladas.
Para qualquer dúvida sobre nossa pesquisa publicada no WeLiveSecurity, entre em contato conosco pelo e-mail threatintel@eset.com.
Indicadores de Comprometimento
Arquivos
Você pode encontrar uma lista completa de indicadores de comprometimento (IoCs) e amostras em nosso repositório no GitHub.
| SHA-1 | Filename | Detection | Description |
| E34A43ACEF5AF1E5197D |
nvidiadrivers |
WinGo/DeceptiveDeve |
A trojanized project containing WeaselStore. |
| 3405469811BAE511E62C |
VCam1.update | WinGo/DeceptiveDeve |
A trojanized project containing WeaselStore. |
| C0BAA450C5F3B6AACDE2 |
VCam2.update | WinGo/DeceptiveDeve |
A trojanized project containing WeaselStore. |
| DAFB44DA364926BDAFC7 |
nvidia.js | JS/Spy.DeceptiveDeve |
WeaselStore downloader for Windows. |
| 015583535D2C8AB710D1 |
ffmpeg.sh | OSX/DeceptiveDeve |
WeaselStore downloader for OSX/Linux. |
| CDA0F15C9430B6E0FF1A |
DriverMinUpdate | OSX/DeceptiveDeve |
Fake prompt requesting user's login on macOS. |
| 214F0B10E9474F0F5D32 |
nvidiaupdate |
WinGo/DeceptiveDeve |
Compiled WeaselStore binary for Windows. |
| 4499C80DDA6DBB492F86 |
bow | Python/DeceptiveDeve |
InvisibleFerret. |
| B20BFBAB8BA732D428AF |
N/A | Python/DeceptiveDeve |
Browser-data stealer module of InvisibleFerret. |
| C6888FB1DE8423D9AEF9 |
Windows Update |
Python/TsunamiKit.A | TsunamiInjector. |
| 4AAF0473599D7E3A5038 |
Runtime Broker |
MSIL/DeceptiveDeve |
TsunamiInstaller. |
| 251CF5F4A8E73F8C5F91 |
Tsunami Payload |
MSIL/DeceptiveDeve |
TsunamiClientInstaller. |
| D469D1BAA3417080DED7 |
Tsunami Payload |
MSIL/DeceptiveDeve |
TsunamiClient. |
| 0C0F8152F3462B662318 |
Runtime Broker |
Win64/Riskware.Tor.A | Tor Proxy. |
| F42CC34C1CFAA826B962 |
autopart.zip |
Win64/DeceptiveDeve JS/Spy.DeceptiveDeve |
A trojanized project containing BeaverTail and a downloader of Tropidoor. |
| 02A2CD54948BC0E2F696 |
hoodygang.zip |
Win64/DDeceptiveDeve JS/Spy.DeceptiveDeve |
A trojanized project containing BeaverTail and a downloader of Tropidoor. |
| 6E787E129215AC153F3A |
tailwind.con |
JS/Spy.DeceptiveDeve |
A trojanized JavaScript containing BeaverTail. |
| FE786EAC26B61743560A |
tailwind.con |
JS/Spy.DeceptiveDeve |
A trojanized JavaScript containing BeaverTail. |
| 86784A31A2709932FF10 |
img_layer_gen |
Win64/DeceptiveDeve |
A downloader of the Tropidoor RAT. |
| 90378EBD8DB757100A83 |
N/A | Win64/DeceptiveDeve |
Tropidoor RAT. |
| C86EEDF02B73ADCE0816 |
drivfixer.sh | OSX/DeceptiveDeve |
A trojanized macOS installer and launcher of Node.js. |
| 4E4D31C559CA16F8B7D4 |
ClickFix-1 |
PowerShell/Decepti |
An initial stage on Windows: BAT downloading a malicious nvidiaRelease.zip archive. |
| A9C94486161C07AE6935 |
driv.zip |
JS/Spy.DeceptiveDeve OSX/DeceptiveDeve |
A ZIP archive containing BeaverTail. |
| F01932343D7F13FF1094 |
nvidiaRelease |
JS/Spy.DeceptiveDeve Win32/DeceptiveDeve VBS/DeceptiveDeve BAT/DeceptiveDeve |
A ZIP archive containing BeaverTail and AkdoorTea. |
| BD63D5B0E4F2C72CCFBF |
mac-v-j1722 |
OSX/DeceptiveDeve |
An initial stage on macOS: a bash script that downloads a malicious driv.zip archive. |
| 10C967386460027E7492 |
main.js | JS/Spy.DeceptiveDeve |
An obfuscated BeaverTail script, automatically loaded by Node.js. |
| 59BA52C644370B4D627F |
run.vbs | VBS/DeceptiveDeve |
A VBScript that executes AkdoorTea and shell.bat. |
| 792AFE735D6D356FD30D |
drvUpdate.exe | Win32/DeceptiveDeve |
AkdoorTea, a TCP RAT. |
Rede
| IP | Domain | Hosting provider | First seen | Details |
| 199.188.200[.]147 | driverservice |
Namecheap, Inc. | 2025‑08‑08 | Remote storage for DeceptiveDevelopment. |
| 116.125.126[.]38 | www.royalsevr |
SK Broadband Co Ltd | 2024‑06‑25 | Remote storage for DeceptiveDevelopment. |
| N/A | n34kr3z26f3jz |
N/A | 2023‑10‑06 | TsunamiClient C&C server. |
| 103.231.75[.]101 | N/A | THE-HOSTING-MNT | 2025‑08‑10 | AkdoorTea C&C server. |
| 45.159.248[.]110 | N/A | THE-HOSTING-MNT | 2025‑06‑29 | BeaverTail C&C server. |
| 45.8.146[.]93 | N/A | STARK INDUSTRIES SOLUTIONS LTD | 2024‑10‑26 | Tropidoor C&C server. |
| 86.104.72[.]247 | N/A | STARK INDUSTRIES SOLUTIONS LTD | 2024‑10‑31 | Tropidoor C&C server. |
| 103.35.190[.]170 | N/A | STARK INDUSTRIES SOLUTIONS LTD | 2024‑06‑24 | Tropidoor C&C server. |
Técnicas MITRE ATT&CK
Esta tabela foi elaborada utilizando a versão 17 do framework MITRE ATT&CK.
| Tactic | ID | Name | Description |
| Reconnaissance | T1589 | Gather Victim Identity Information | DeceptiveDevelopment steals victims' credentials to be used by WageMole in consequent social engineering. |
| Resource Development | T1585.001 | Establish Accounts: Social Media Accounts | Fake recruiter accounts created on LinkedIn, Upwork, Freelancer.com, etc. |
| T1586 | Compromise Accounts | Hijacked GitHub and social media accounts used to distribute malware. | |
| Initial Access | T1566.001 | Phishing: Spearphishing Attachment | Fake job offers include attachments or links to malicious projects. |
| T1566.002 | Phishing: Spearphishing Link | ClickFix technique uses deceptive links to fake troubleshooting guides. | |
| Execution | T1204.001 | User Execution: Malicious Link | Victims are lured to fake job interview sites (e.g., ClickFix) that initiate malware download. |
| T1204.002 | User Execution: Malicious File | Trojanized coding challenges contain variants of BeaverTail. | |
| T1059 | Command and Scripting Interpreter | DeceptiveDevelopment uses VBS, Python, JavaScript, and shell commands for execution. | |
| Defense Evasion | T1078 | Valid Accounts | WageMole reuses stolen identities and credentials, especially for fake recruiter and GitHub accounts. |
| T1027 | Obfuscated Files or Information | Obfuscated malicious scripts are hidden in long comments or outside IDE view. | |
| T1055 | Process Injection | TsunamiKit uses injection techniques in its execution chain. | |
| T1036 | Masquerading | Malware disguised as legitimate software (e.g., conferencing tools, NVIDIA installers). | |
| T1497 | Virtualization/Sandbox Evasion | TsunamiKit includes environment checks and obfuscation to evade analysis. | |
| Collection | T1056.001 | Input Capture: Keylogging | InvisibleFerret includes clipboard and keylogging modules. |
| Command and Control | T1071.001 | Application Layer Protocol: Web Protocols | AkdoorTea, BeaverTail, and Tropidoor communicate with C&C servers over HTTP/S. |
| T1105 | Ingress Tool Transfer | BeaverTail downloads second-stage payloads like InvisibleFerret, TsunamiKit, or Tropidoor. |
