Atores de ameaça norte-coreanos foram vinculados a um ataque cibernético recente usando o ransomware Play, com uma possível motivação financeira. De acordo com um relatório da Palo Alto Networks Unit 42, o grupo de hackers Jumpy Pisces, também conhecido como Andariel ou APT45, é suspeito de colaborar com operadores do ransomware Play, o que marca a primeira vez que um grupo patrocinado pelo Estado norte-coreano é associado diretamente a uma operação de ransomware.

Entre maio e setembro de 2024, o grupo Andariel, após comprometer uma conta de usuário, realizou movimentos laterais pela rede alvo e manteve persistência usando a ferramenta de comando e controle Sliver e o backdoor Dtrack. O ataque envolveu atividades preparatórias, como coleta de credenciais, escalonamento de privilégios e desativação de sensores EDR, até a implantação final do ransomware Play em setembro.

Essas ações incluíram o uso de um binário trojanizado para coletar dados de navegadores como Chrome, Edge e Brave, incluindo histórico de navegação e informações financeiras, como dados de cartões de crédito. Embora existam rumores sobre o uso de ransomware como serviço (RaaS) pelo grupo Play, os operadores negaram tal prática em seu site na dark web.