Um grupo de ameaças patrocinado pelo estado norte-coreano, conhecido como Lazarus group, está distribuindo uma versão trojanizada de um aplicativo legítimo da desenvolvedora de software multimídia taiwanesa CyberLink.

O objetivo é atingir clientes através de um ataque à cadeia de suprimentos. A equipe da Microsoft Threat Intelligence analisou o caso e descobriu que o arquivo malicioso é um instalador legítimo da CyberLink, modificado para incluir código malicioso que baixa, descriptografa e carrega um payload de segunda fase.

O arquivo envenenado está hospedado na infraestrutura de atualização da própria CyberLink e inclui verificações para limitar a janela de tempo de execução e evitar a detecção por produtos de segurança. A campanha afetou mais de 100 dispositivos em países como Japão, Taiwan, Canadá e EUA.

Atividades suspeitas associadas ao instalador modificado da CyberLink foram observadas desde 20 de outubro de 2023. As ligações com a Coreia do Norte vêm do fato de que o payload de segunda fase estabelece conexões com servidores de comando e controle (C2) previamente comprometidos pelo grupo de ameaças.

O Lazarus Group, está ativo desde pelo menos 2013 e é conhecido por atacar governos, defesa, telecomunicações e instituições financeiras em todo o mundo. Interessantemente, a Microsoft não detectou atividades manuais nos ambientes alvo após a distribuição do instalador comprometido, codinome LambLoad.

O downloader e loader armado inspeciona o sistema alvo para a presença de softwares de segurança da CrowdStrike, FireEye e Tanium.