O grupo de cibercriminosos Lazarus, associado à Coreia do Norte, foi vinculado à exploração de uma vulnerabilidade zero-day no Google Chrome, já corrigida, que permitia o controle total de dispositivos infectados. A Kaspersky, empresa de cibersegurança, descobriu uma cadeia de ataques inédita em maio de 2024, que teve como alvo o computador pessoal de um cidadão russo não identificado, infectado com o backdoor Manuscrypt.

O ataque foi iniciado ao visitar um site falso de um jogo, “detankzone[.]com”, direcionado a pessoas do setor de criptomoedas. Acredita-se que a campanha tenha começado em fevereiro de 2024. O site parecia ser uma página legítima de um jogo multiplayer online baseado em NFT e finanças descentralizadas (DeFi), chamado de “MOBA Tank Game”, e convidava os usuários a baixarem uma versão de teste.

No entanto, a página escondia um script malicioso que, ao ser executado no navegador Google Chrome, explorava uma falha zero-day para permitir que os atacantes assumissem o controle total do computador da vítima. A vulnerabilidade explorada foi a CVE-2024-4947, uma falha de confusão de tipos no motor V8 JavaScript e WebAssembly do Chrome, corrigida pela Google em maio de 2024.

O uso de um jogo de tanques malicioso para disseminar malware é uma tática semelhante a outra campanha atribuída a um grupo norte-coreano conhecido como Moonstone Sleet. Nesses ataques, as vítimas eram abordadas por e-mail ou plataformas de mensagens, sendo induzidas a instalar o jogo por meio de promessas de investimento ou propostas de desenvolvimento de blockchain. A Kaspersky destacou que a exploração da vulnerabilidade zero-day desempenhou um papel central nesses ataques.