Il malware OtterCookie, sviluppato e aggiornato da gruppi nordcoreani noti per le loro sofisticate campagne di cyber attacchi, si conferma una delle minacce più insidiose del panorama attuale della sicurezza informatica. Le ultime versioni, la v3 e la v4, introdotte rispettivamente a febbraio e aprile 2025, dimostrano una rapida evoluzione sia nelle funzionalità che nelle tecniche di evasione e furto di dati.

Diffusione e caratteristiche delle nuove versioni

OtterCookie viene diffuso tramite pacchetti npm malevoli, repository GitHub o Bitbucket compromessi e persino applicazioni di videoconferenza contraffatte. Una volta installato su un sistema, il malware stabilisce una connessione con server remoti per ricevere comandi e rubare informazioni sensibili. La versione v3 ha introdotto un modulo di upload che permette di esfiltrare file specifici, tra cui vari documenti, immagini, variabili d’ambiente e soprattutto file contenenti frasi mnemoniche e di recupero di wallet di criptovalute, dimostrando un focus particolare sul furto di asset digitali.

Nuove funzionalità della versione v4

La versione v4 di OtterCookie aggiunge due moduli avanzati dedicati al furto di credenziali da Google Chrome e all’estrazione di dati dalla celebre estensione MetaMask, oltre che dai browser Brave e da iCloud Keychain. Particolarmente preoccupante è anche la nuova capacità di rilevare l’esecuzione in ambienti virtuali come VMware, VirtualBox, Microsoft e QEMU, una tecnica utilizzata per eludere le analisi dei ricercatori di sicurezza e complicare l’individuazione del malware.

Altri malware e tecniche correlate

Il modus operandi dei cyber criminali nordcoreani si sta raffinando: vengono utilizzati anche altri malware, come uno stealer scritto in Go mascherato da aggiornamento driver Realtek, e nuove famiglie come Tsunami-Framework, progettate per sottrarre dati da browser e wallet crittografici, loggare le digitazioni e installare componenti botnet.

Strategia del Lazarus Group e attività collaterali

Queste campagne si inseriscono nella strategia più ampia del Lazarus Group, mirata sia a scopi di spionaggio sia a ottenere guadagni economici per aggirare le sanzioni internazionali. Non solo le tecniche di attacco evolvono, ma anche le attività collaterali: l’uso di identità false, la manipolazione digitale di curriculum e profili LinkedIn, l’impiego di strumenti di intelligenza artificiale e la presenza di operatori nordcoreani che cercano lavoro in aziende occidentali per infiltrarsi dall’interno.

Difese e raccomandazioni per le organizzazioni

Le organizzazioni devono quindi rafforzare le procedure di verifica delle identità nei processi di assunzione e monitorare l’uso anomalo di strumenti legittimi, per intercettare tempestivamente attività sospette riconducibili sia a infezioni malware sia a insider threat orchestrati da operatori stranieri.