O grupo hacker norte-coreano Lazarus voltou a atacar, desta vez mirando pelo menos seis organizações sul-coreanas em setores como tecnologia, finanças, telecomunicações e fabricação de semicondutores. A operação, apelidada de Operation SyncHole, foi detectada pela Kaspersky e começou em novembro de 2024. A campanha usou uma combinação sofisticada de ataques do tipo watering hole (sites comprometidos para infectar visitantes) e exploração de vulnerabilidades em softwares amplamente utilizados na Coreia do Sul.

Um dos pontos críticos explorados foi uma falha no software Cross EX, usado em serviços bancários e governamentais, além de uma vulnerabilidade de um dia no Innorix Agent, ferramenta de transferência de arquivos. A cadeia de infecção começa com a visita do alvo a sites de mídia locais comprometidos. O visitante é redirecionado a um domínio controlado pelos hackers, onde um script malicioso explora uma falha no Cross EX para injetar o malware ThreatNeedle no processo legítimo SyncHost.exe.

Além do ThreatNeedle, os atacantes utilizaram outras ferramentas do Lazarus, como wAgent, SIGNBT e COPPERHEDGE, para persistência, reconhecimento e roubo de credenciais. Também foram detectados os malwares LPEClient e AGAMEMNON, sendo este último responsável por baixar cargas adicionais e se mover lateralmente dentro da rede, explorando uma vulnerabilidade zero-day no Innorix Agent. A Kaspersky alerta que os ataques à cadeia de suprimentos na Coreia do Sul devem continuar, com o grupo Lazarus aprimorando seus malwares para dificultar a detecção e melhorar a comunicação com seus servidores de comando e controle.