内容摘要：与北朝鲜有关的网络威胁组织正在通过名为OtterCookie的升级版恶意软件扩大其全球攻击范围。该恶意软件是WaterPlum组织此前投放的BeaverTail和InvisibleFerret等恶意负

与北朝鲜有关的组织O至网络威胁组织正在通过名为OtterCookie的升级版恶意软件扩大其全球攻击范围。该恶意软件是恶意WaterPlum组织此前投放的BeaverTail和InvisibleFerret等恶意负载的后续变种
。2024年12月由NSJ SOC分析师Masaya Motoda和Rintaro Koike首次披露后 ，软件OtterCookie已历经多次迭代，升级沙箱最新发现的版本v3和v4版本在功能性和跨平台威胁能力方面均有显著提升。

攻击手法与目标定位

OtterCookie作为"传染性面试"（Contagious Interview）长期行动的免费模板新增一部分被部署，该行动主要针对全球金融机构  、凭证加密货币平台和金融科技公司。检测攻击者通过伪造职位邀约或人才合作的组织O至方式 ，诱骗受害者打开恶意负载 。恶意

版本演进与技术升级

该恶意软件最初版本（v1）仅具备基础文件窃取功能，软件而到2025年2月发现的升级沙箱v3版本和2025年4月出现的v4版本时，已发展为适配Windows和macOS系统的源码库版本多模块窃密程序 。

v3版本的新增双模块架构：

图示：NSJ提供

主模块：保留基础功能，扫描与文档、凭证图像和加密货币相关的敏感文件上传模块
：新增对Windows环境的支持，将符合searchKey数组中预设扩展名过滤条件的文件发送至远程C2服务器

报告指出："除Windows环境外，它还会收集文档文件、图像文件以及与加密货币相关的模板下载文件 ，并将其发送至远程服务器 。"与早期版本依赖远程shell命令收集文件不同 ，v3版本采用硬编码逻辑 ，提高了效率和隐蔽性 。

v4版本新增功能

2025年4月 ，研究人员在野捕获到OtterCookie v4版本，该版本整合了以下新功能：

两个新型窃密模块增强的环境检测功能（包括虚拟机识别）用原生macOS和Windows命令替代第三方剪贴板工具

报告解释称："新增了虚拟环境检测功能...我们推测攻击者旨在区分沙箱环境日志与实际感染日志。"

凭证窃取技术细节

其中一个窃密模块专门针对Google Chrome登录凭证 ，利用Windows数据保护API（DPAPI）从"Login Data"文件中解密并提取密码。源码下载窃取的凭证会先存储在本地数据库文件（1.db）中，等待后续处理 。

另一个窃密模块则专注于浏览器存储的钱包数据 ，收集与MetaMask 、Google Chrome、Brave以及macOS钥匙串相关的文件。值得注意的是云计算，该模块不会在本地解密数据，暗示攻击者可能采用中继模式或拥有独立的后处理基础设施。

攻击组织背景

OtterCookie被归因于WaterPlum组织（又名Famous Chollima或PurpleBravo）
。该组织持续针对金融和加密货币领域的行为
，配合OtterCookie每次更新的技术复杂度，表明其背后很可能存在国家层面支持、资源充足的建站模板高级持续性威胁（APT）行动。