A hírhedt Lazarus hackercsoport adatokat szerzett és pénzt próbált kicsalni európai és dél-amerikai légi és védelmi beszállítóktól az ESET kiberfenyegetést kutató csapata szerint. Az éves ESET világkonferencián jelentette be a csoport feje, Jean-Ian Boutin, hogy 2021 és 2022 között egy adott időszakban sikerült megfigyelni a Lazarus aktivitását francia, olasz, spanyol, német, holland, lengyel, ukrán, illetve brazil beszállítók esetében.
Bár a hackercsoport – amely a rendelkezésre álló információk szerint Észak-Koreához köthető – elsősorban kiberkémkedésben utazik, most pénzt is megpróbált kicsalni a cégektől, az ESET szerint sikertelenül. Érdekes eszközkészletet telepített azonban az áldozatok rendszerébe, például egy olyan eszközt is, amely képes kihasználni egy sebezhető Dell-illesztőprogramot ahhoz, hogy közvetlenül a kernelmemóriába írjon. Ezt a fejlett trükköt a biztonsági megoldások megkerülésére használták a bűnözők.
Az ESET már 2020-ban rábukkant hasonló tevékenységre a Lazarus egyik alcsoportjánál, ekkor a hackerek a közösségi médiát használták arra, hogy kapcsolatot építsenek a cégek alkalmazottaival, mielőtt rosszindulatú fájlokat küldtek volna nekik. Ezeket a fájlokat állásajánlatokként álcázták. Ekkor már Brazíliában, Csehországban, Katarban, Törökországban és Ukrajnában is célba vették a cégeket.
Az ESET kutatói úgy vélték, hogy az akció főként európai vállalatok megtámadására irányult, de számos Lazarus-alcsoportot követtek nyomon, amelyek hasonló kampányokat folytattak védelmi cégek ellen. Hamar rájöttek, hogy a kampány az európai határoknál sokkal szélesebbre nyúlik. Míg a különböző kampányokban használt rosszindulatú programok eltérőek voltak, a kezdetek ugyanazok:
A kutatók dokumentálták olyan munkaerő-felvételi kampányelemek felhasználását is, amelyek legitimebbé tették hamis toborzókampányokat. A támadók olyan szolgáltatásokat is használtak, mint a WhatsApp vagy a Slack.