與北朝鮮有關的網絡威脅組織正在通過名為OtterCookie的升級版惡意軟件擴大其全球攻擊范圍。該惡意軟件是WaterPlum組織此前投放的BeaverTail和InvisibleFerret等惡意負載的后續變種。2024年12月由NSJ SOC分析師Masaya Motoda和Rintaro Koike首次披露后，OtterCookie已歷經多次迭代，最新發現的v3和v4版本在功能性和跨平臺威脅能力方面均有顯著提升。

攻擊手法與目標定位

OtterCookie作為"傳染性面試"（Contagious Interview）長期行動的一部分被部署，該行動主要針對全球金融機構、加密貨幣平臺和金融科技公司。攻擊者通過偽造職位邀約或人才合作的方式，誘騙受害者打開惡意負載。

版本演進與技術升級

該惡意軟件最初版本（v1）僅具備基礎文件竊取功能，而到2025年2月發現的v3版本和2025年4月出現的v4版本時，已發展為適配Windows和macOS系統的多模塊竊密程序。

v3版本的雙模塊架構：

圖示：NSJ提供

• 主模塊：保留基礎功能，掃描與文檔、圖像和加密貨幣相關的敏感文件
• 上傳模塊：新增對Windows環境的支持，將符合searchKey數組中預設擴展名過濾條件的文件發送至遠程C2服務器

報告指出："除Windows環境外，它還會收集文檔文件、圖像文件以及與加密貨幣相關的文件，并將其發送至遠程服務器。"與早期版本依賴遠程shell命令收集文件不同，v3版本采用硬編碼邏輯，提高了效率和隱蔽性。

v4版本新增功能

2025年4月，研究人員在野捕獲到OtterCookie v4版本，該版本整合了以下新功能：

• 兩個新型竊密模塊
• 增強的環境檢測功能（包括虛擬機識別）
• 用原生macOS和Windows命令替代第三方剪貼板工具

報告解釋稱："新增了虛擬環境檢測功能...我們推測攻擊者旨在區分沙箱環境日志與實際感染日志。"

憑證竊取技術細節

其中一個竊密模塊專門針對Google Chrome登錄憑證，利用Windows數據保護API（DPAPI）從"Login Data"文件中解密并提取密碼。竊取的憑證會先存儲在本地數據庫文件（1.db）中，等待后續處理。

另一個竊密模塊則專注于瀏覽器存儲的錢包數據，收集與MetaMask、Google Chrome、Brave以及macOS鑰匙串相關的文件。值得注意的是，該模塊不會在本地解密數據，暗示攻擊者可能采用中繼模式或擁有獨立的后處理基礎設施。

攻擊組織背景

OtterCookie被歸因于WaterPlum組織（又名Famous Chollima或PurpleBravo）。該組織持續針對金融和加密貨幣領域的行為，配合OtterCookie每次更新的技術復雜度，表明其背后很可能存在國家層面支持、資源充足的高級持續性威脅（APT）行動。