Um agente de ameaças apoiado pelo Estado com vínculos com a República Popular Democrática da Coreia (DRPK) foi atribuído a uma campanha de phishing direcionada a jornalistas que cobrem o país com o objetivo final de implantar um backdoor em sistemas Windows infectados.

“Os jornalistas são alvos de alto valor para governos hostis”, disse a empresa de segurança cibernética Stairwell em um relatório publicado na semana passada. “Comprometer um jornalista pode fornecer acesso a informações altamente confidenciais e permitir ataques adicionais contra suas fontes”.

As mensagens de phishing foram enviadas de um endereço de e-mail pessoal pertencente a um ex-oficial de inteligência sul-coreano, levando à implantação do backdoor em um processo de infecção em vários estágios para evitar a detecção.

As mensagens de e-mail continham um link para baixar um arquivo ZIP de um servidor remoto projetado para representar o portal de notícias focado na Coreia do Norte.

Embutido no arquivo está um arquivo de atalho do Windows que atua como um ponto de partida para executar o script do PowerShell, que abre um documento chamariz enquanto instala simultaneamente o backdoor GOLDBACKDOOR.