Il gruppo Lazarus, legato alla Corea del Nord, è stato attribuito a una nuova campagna di attacchi informatici denominata "Operation 99". Questo attacco prende di mira sviluppatori di software alla ricerca di lavoro freelance nel settore Web3 e delle criptovalute, con l'obiettivo di distribuire malware. La campagna inizia con falsi reclutatori che si spacciano su piattaforme come LinkedIn, attirando sviluppatori attraverso test di progetto e revisioni di codice. Una volta che la vittima prende l'esca, viene indirizzata a clonare un repository GitLab malevolo, apparentemente innocuo, ma carico di insidie. Il codice clonato si connette a server di comando e controllo (C2), incorporando malware nell'ambiente della vittima.

Le vittime di questa campagna sono state identificate in tutto il mondo, con una significativa concentrazione in Italia. Un numero minore di vittime si trova in Argentina, Brasile, Egitto, Francia, Germania, India, Indonesia, Messico, Pakistan, Filippine, Regno Unito e Stati Uniti. Il nome "Operation 99" deriva dagli artefatti malevoli che presentano identificatori di versione etichettati come "pay99". SecurityScorecard ha rivelato che, sebbene non disponga di dettagli precisi sulla vittimologia, gli attaccanti sono riusciti a convincere con successo gli sviluppatori presi di mira a eseguire i contenuti del repository.

La campagna, scoperta il 9 gennaio 2025, si basa su tattiche a tema lavorativo precedentemente osservate negli attacchi del gruppo Lazarus, come l'Operazione Dream Job, per concentrarsi specificamente sui sviluppatori nei settori Web3 e delle criptovalute. Questo approccio continua a essere efficace perché gli attori delle minacce nordcoreane evolvono costantemente i loro metodi, rendendo i loro inganni a tema lavorativo sempre più sofisticati e credibili. Utilizzando profili generati dall'intelligenza artificiale e tecniche di comunicazione realistiche, riescono a creare scenari altamente convincenti che ingannano anche individui attenti.

Ciò che rende unica l'Operation 99 è l'uso di progetti di codifica come parte di un elaborato schema di reclutamento che coinvolge la creazione di profili LinkedIn ingannevoli, utilizzati per indirizzare le vittime a repository GitLab fasulli. L'obiettivo finale degli attacchi è distribuire impianti di furto di dati capaci di estrarre codice sorgente, segreti, chiavi di portafogli di criptovaluta e altri dati sensibili dagli ambienti di sviluppo.

Questi includono Main5346 e la sua variante Main99, che funge da downloader per tre payload aggiuntivi: Payload99/73, Brow99/73 e MCLIP, ciascuno con funzioni specifiche per la raccolta di dati e il furto di credenziali. Compromettendo gli account degli sviluppatori, gli attaccanti non solo esfiltrano proprietà intellettuali, ma accedono anche ai portafogli di criptovaluta, consentendo furti finanziari diretti. L'architettura del malware è modulare e flessibile, capace di lavorare su sistemi operativi Windows, macOS e Linux, sottolineando la natura in continua evoluzione delle minacce informatiche statali.