PANewsは1月22日、Cryptopolitanによると、セキュリティ企業Recorded Futureの最新調査で、北朝鮮系ハッカー集団PurpleBravoが、偽の就職面接を通じて人工知能（AI）、仮想通貨、金融サービス分野の企業の3,100以上のIPアドレスを標的としたサイバースパイ活動を開始したことが明らかになったと報じた。同集団は採用担当者や開発者を装い、技術面接を口実に悪意のあるコードを実行させるよう仕向けた。攻撃者は仮想通貨企業やテクノロジー企業を装い、求職者にコードのレビュー、リポジトリのクローン作成、プログラミング作業の完了などを依頼した。セキュリティ研究者は、南アジア、北米、その他の地域の20の被害組織を特定した。

このグループは複数の別名を使い分け、ウクライナのオデッサを偽装していました。攻撃では、PylangGhostやGolangGhostといったリモートアクセス型トロイの木馬が使用され、ブラウザの認証情報とCookieが自動的に盗まれました。また、ハッカーたちは悪意のあるGitHubリポジトリ、Astrill VPN、そして17のサービスプロバイダーを通じてマルウェアサーバーをホストしていました。さらに、調査の結果、LinkedInとUpworkのアカウントを販売する関連Telegramチャンネルが見つかり、攻撃者は暗号通貨取引所MEXC Exchangeともやり取りしていました。