🌐 Contexte

Article de recherche publié le 10 juin 2026 sur kmsec.uk par Kieran Miyamoto, chercheur indépendant en cybersécurité. L’article documente l’utilisation de Google Docs par l’acteur FAMOUS CHOLLIMA (nexus RPDC) pour mener deux campagnes distinctes mais liées.

🎯 Campagnes identifiées

FAMOUS CHOLLIMA opère deux campagnes thématiquement similaires :

  • Contagious Interview (aka DevPopper) : fausses offres d’emploi ciblant des développeurs, avec des tâches de codage hébergées sur Bitbucket/GitHub menant à une chaîne d’infection multi-étapes déployant des infostealers (OtterCookie, InvisibleFerret) pour vider des portefeuilles de cryptomonnaies.
  • IT Worker scheme (aka WageMole) : recrutement de « proxy interviewees », des personnes conduisant des entretiens d’embauche à la place d’opérateurs FAMOUS CHOLLIMA pour faciliter l’infiltration d’entreprises.

🔗 Preuve de réutilisation d’actifs entre campagnes

Un élément clé de l’analyse est la réutilisation d’une image bannière non-standard (hash de7f4a6cc9faa9e8cd165e77963b278f9c377978b1b4a0be58e41b4b1f4a525b) entre :

  • 4 documents de tâches de codage Contagious Interview (rôles blockchain)
  • 1 document de recrutement de proxy interviewee

Cette image n’est pas proposée par défaut dans Google Docs et a une faible présence sur le web, indiquant une sélection manuelle et une réutilisation de template entre les deux campagnes.

📊 Timeline des documents tracés

Le chercheur a suivi 10 Google Docs sur plusieurs semaines (de février 2025 à juin 2026), révélant :

  • Des documents avec des centaines de révisions (ex: 1J1Y…v9YI avec 933+ révisions sur plus d’un an)
  • Des rotations fréquentes de dépôts malveillants (Bitbucket, GitHub) sur des périodes de quelques jours
  • Des titres récurrents : « Test Requirement », « Technical Assessment », « Technical Assessment: Blockchain », « Test for Blockchain Dev »

🛠️ Méthodologie de chasse

Le chercheur utilise deux outils principaux :

  • urlscan.io : pivot sur page.title et hashes de ressources images
  • dochunt.kmsec.uk : recherche plein texte sur métadonnées de Google Docs (titres, liens sortants, historique de révisions)

Requêtes de chasse documentées : title:"test requirement", links:"bitbucket" AND blockchain, proxy AND interview* AND remote AND compensation.

📋 Type d’article

Publication de recherche indépendante à visée CTI, combinant méthodologie de threat hunting et documentation d’IOCs actifs liés à FAMOUS CHOLLIMA.

🧠 TTPs et IOCs détectés

Acteurs de menace

TTP

  • T1566.003 — Phishing: Spearphishing via Service (Initial Access)
  • T1608.005 — Stage Capabilities: Link Target (Resource Development)
  • T1656 — Impersonation (Defense Evasion)
  • T1204.001 — User Execution: Malicious Link (Execution)
  • T1539 — Steal Web Session Cookie (Credential Access)
  • T1078 — Valid Accounts (Defense Evasion)

IOC

  • Domaines : bitbucket.orgVT · URLhaus · ThreatFox
  • URLs : https://bitbucket.org/workspace052/testing/src/dev/URLhaus
  • URLs : https://github.com/BetFin-ProWorkspace/Betfin-PokerURLhaus
  • URLs : https://bitbucket.org/notion-dex/ultraxURLhaus
  • URLs : https://bitbucket.org/web3_space/novaxURLhaus
  • URLs : https://bitbucket.org/workspace1101/testing/src/dev/URLhaus
  • URLs : https://bitbucket.org/workspace622/testing/src/dev/URLhaus
  • URLs : https://bitbucket.org/bg86889002000/propchain/src/master/URLhaus
  • URLs : https://bitbucket.org/workspace503/real_estate-b_s/src/main/URLhaus
  • URLs : https://bitbucket.org/workspace602/bestcity-v1/src/main/URLhaus
  • URLs : https://bitbucket.org/acebrian604/fm_dex/src/main/URLhaus
  • URLs : https://bitbucket.org/bestcity-work609/bestcity-v1/src/main/URLhaus
  • URLs : https://bitbucket.org/tech_workspace/testing/srcURLhaus
  • URLs : https://bitbucket.org/royalcity-work302/royalcity-v1/src/main/URLhaus
  • URLs : https://bitbucket.org/workspace814/technical-assessment436URLhaus
  • URLs : https://bitbucket.org/tech_workspace/testing/src/dev/URLhaus
  • URLs : https://bitbucket.org/dev-space0314/testing/src/dev/URLhaus
  • URLs : https://bitbucket.org/workspace401/royal-city497-pocURLhaus
  • URLs : https://bitbucket.org/workspace403/royal-city497-pocURLhaus
  • URLs : https://bitbucket.org/workspace401/technical-assessment496URLhaus
  • URLs : https://bitbucket.org/workspace406/royal-city497-pocURLhaus
  • URLs : https://drive.google.com/file/d/1ow5UOpvsXH_9ILKdpwkIekplcSVMm4F3/URLhaus
  • URLs : https://www.loom.com/share/5701c37802ee4de78ed57d6d5d526bf8URLhaus
  • SHA256 : de7f4a6cc9faa9e8cd165e77963b278f9c377978b1b4a0be58e41b4b1f4a525bVT · MalwareBazaar

Malware / Outils

  • OtterCookie (stealer)
  • InvisibleFerret (stealer)

🟢 Indice de vérification factuelle : 68/100 (haute)

  • ⬜ kmsec.uk — source non référencée (0pts)
  • ✅ 12116 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 24 IOCs dont des hashes (15pts)
  • ✅ 1/5 IOC(s) confirmé(s) (MalwareBazaar, ThreatFox, URLhaus, VirusTotal) (8pts)
  • ✅ 6 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : FAMOUS CHOLLIMA (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

  • bitbucket.org (domain) → ThreatFox (Unknown malware)

🔗 Source originale : https://kmsec.uk/blog/dprk-google-docs