২০২৫ সালের এপ্রিল থেকে ল্যাজারাস গ্রুপের উপশাখা ব্লু-নরফ, ‘ঘোস্টকল’ ও ‘ঘোস্টহায়ার’ এর মাধ্যমে ভারত, তুরস্ক, অস্ট্রেলিয়া সহ ইউরোপ ও এশিয়ার বিভিন্ন দেশের ওয়েব৩ এবং ক্রিপ্টোকারেন্সি প্রতিষ্ঠানগুলোর ওপর সাইবার হামলা চালাচ্ছে বলে ক্যাসপারস্কির এক গবেষণায় উঠেছে এসেছে। থাইল্যান্ডে অনুষ্ঠিত সিকিউরিটি অ্যানালিস্ট সামিটে ক্যাসপারস্কির গ্লোবাল রিসার্চ অ্যান্ড অ্যানালাইসিস টিম (জিআরইএটি) ব্লু-নরফ (BlueNoroff) নামের অ্যাডভান্সড পারসিস্টেন্ট থ্রেট (এপিটি) গ্রুপের সাম্প্রতিক কার্যক্রম প্রকাশ করেছে। ঘোস্টকল (GhostCall) ও ঘোস্টহায়ার (GhostHire) নামে দুটি ‘হাইলি টার্গেটেড ম্যালিশিয়াস ক্যাম্পেইন’এর মাধ্যমে পরিচালিত এই হামলাগুলো চলমান অবস্থায় রয়েছে।
ল্যাজারাস গ্রুপের উপশাখা ব্লু-নরফ, ‘ঘোস্টকল’ ও ‘ঘোস্টহায়ার’ এর মাধ্যমে তাদের পূর্ববর্তী স্ন্যাসক্রিপ্টো ক্যাম্পেইন আরও জোরালোভাবে চালিয়ে যাচ্ছে। এই ক্যাম্পেইনে মূলত ম্যাকওএস ও উইন্ডোজ ব্যবহারকারী ব্লকচেইন ডেভেলপার এবং প্রতিষ্ঠানের নির্বাহী কর্মকর্তাদের টার্গেট করছে। ‘ঘোস্টকল’ ক্যাম্পেইনে উন্নত সোশ্যাল ইঞ্জিনিয়ারিং কৌশল ব্যবহার করা হচ্ছে, যেখানে হ্যাকাররা টেলিগ্রাম প্ল্যাটফর্মে নিজেদের ভেঞ্চার ক্যাপিটালিস্ট পরিচয়ে উপস্থাপন করে। এরপর ভিকটিমদের ফিশিং সাইটে ভুয়া মিটিংয়ে আমন্ত্রণ করে। এরপর সেখানে দেখানো ‘আপডেট’ ইনস্টল করতে উৎসাহিত করে, যা আসলে ম্যালওয়্যার ইনস্টল করে হ্যাকারদের সিস্টেমে প্রবেশাধিকার নিশ্চিত করে।
ক্যাসপারস্কি জিআরইএটি-এর সিকিউরিটি রিসার্চার সোজুন রিউ বলেন, “এই অভিযানে ছিল পরিকল্পিত ও নিখুঁত প্রতারণার কৌশল। আক্রমণকারীরা আগের ভুক্তভোগীদের ভিডিও ব্যবহার করে সাজানো মিটিংয়ে সেটি রিপ্লে করে দেখাতো, যেন কলটি বাস্তব মনে হয়। এভাবেই তারা নতুন টার্গেটদের বিভ্রান্ত করত। এই প্রক্রিয়ায় সংগৃহীত তথ্য শুধু এই ধরনের ভুক্তভোগীর বিরুদ্ধেই নয়, পরবর্তীতে সাপ্লাই চেইন আক্রমণেও ব্যবহার করা হয়। আক্রমণকারীরা এভাবে বিশ্বাসের সম্পর্ককে কাজে লাগিয়ে আরও বেশি প্রতিষ্ঠান ও ব্যবহারকারীর সিস্টেমে প্রবেশাধিকার পাওয়ার চেষ্টা করে যাচ্ছে।”
এই ক্যাম্পেইনে হ্যাকাররা সাত ধাপে কার্যকরী একাধিক এক্সিকিউশন চেইন ব্যবহার করেছে, যার মধ্যে চারটি সম্পূর্ণ নতুন কৌশল রয়েছে। এগুলো দিয়ে তারা কাস্টমাইজড ক্রিপ্টো স্টিলার (ক্রিপ্টো চোরানো প্রোগ্রাম), ব্রাউজার ও সিক্রেট স্টিলার (গোপন তথ্য চোরানো টুল) এবং টেলিগ্রাম ক্রেডেনশিয়াল থেফট-এর (টেলিগ্রামের পরিচয়পত্র চুরি) মাধ্যমে মালওয়্যার ছড়িয়েছে। ঘোস্টহায়ার-এ ডেভেলপারদের টার্গেট করতে ভুয়া রিক্রুটারের নাম করে গিটহাব চ্যালেঞ্জ দেখানো হয়, যাতে তারা ফাঁদে পড়ে। আর ঘোস্টকল-এ ভিডিও কলে ‘আপডেট’ বলে ফিশিং লিংক দেখিয়ে ম্যালওয়্যার ইনস্টল করানো হয়। এই গ্রুপটি জেনারেটিভ এআই ব্যবহার করে ম্যালওয়্যারের দ্রুত উন্নয়ন করছে, নতুন ভাষা ও ফিচার যোগ করছে এবং বিশ্বব্যাপী অপারেশন আরও দ্রুত বাড়াচ্ছে।
ক্যাসপারস্কি জিআরইএটি-এর সিনিয়র সিকিউরিটি রিসার্চার ওমর আমিন বলেন, “আগের অভিযানের পর থেকে হামলার কৌশল কেবল ক্রিপ্টোকারেন্সি বা ব্রাউজারের ক্রেডেনশিয়াল চুরিতে সীমাবদ্ধ নেই। জেনারেটিভ এআই ব্যবহারে এই প্রক্রিয়া খুব দ্রুত হচ্ছে, আর ম্যালওয়্যার তৈরি করা সহজ হচ্ছে তাই অপারেশনাল ঝামেলাও অনেক কমে এসেছে। গ্রুপটি এআই-এর বিশ্লেষণাত্মক ক্ষমতা এবং কম্প্রোমাইজড ডাটা একসঙ্গে ব্যবহার করে হামলার পরিসর আরও বাড়িয়ে চলেছে। আমাদের গবেষণা ভবিষ্যতে আরও এই ধরনের ক্ষতিকর হামলা প্রতিরোধে সহায়ক হবে বলে আমরা আশা করি।”
ঘোস্টকল ও ঘোস্টহায়ার সম্পর্কিত আরও বিস্তারিত তথ্য এবং ইন্ডিকেটর অব কমপ্রোমাইজ পাওয়া যাবে ক্যাসপারস্কির গবেষণা প্ল্যাটফর্ম Securelist.com-এ প্রকাশিত প্রতিবেদনে।
এই ধরনের আক্রমণ থেকে সুরক্ষার জন্য প্রতিষ্ঠানগুলোকে নতুন যোগাযোগ বা পার্টনার যাচাই করে নেওয়া, অপরিচিত বা যাচাইবিহীন স্ক্রিপ্ট ব্যবহার থেকে বিরত থাকা এবং সর্বদা নিরাপদ যোগাযোগ মাধ্যম ব্যবহারের পরামর্শ দিয়েছে গবেষকরা। একইসাথে রিয়েল-টাইম সুরক্ষা, ইডিআর ও এক্সডিআর সক্ষমতার জন্য ক্যাসপারস্কি নেক্সট ব্যবহারের সুপারিশ করা হয়েছে। পাশাপাশি কম্প্রোমাইজড এসেসমেন্ট, ম্যানেজড ডিটেকশন অ্যান্ড রেসপন্স (এমডিআর) এবং ইনসিডেন্ট রেসপন্স, একইসাথে প্রতিষ্ঠানগুলো হুমকি ও সময়মতো ঝুঁকি শনাক্ত করার সক্ষমতা বাড়াতে ক্যাসপারস্কি থ্রেট ইন্টেলিজেন্স সার্ভিস গ্রহণের পরামর্শ দেওয়া হয়েছে।
