Os atores de ameaças norte-coreanos, conhecidos por desenvolverem malwares como RustBucket e KANDYKORN para macOS, foram observados combinando elementos dessas duas cadeias de ataque distintas.

RustBucket é um cluster de atividades ligado ao Grupo Lazarus, que usa uma versão adulterada de um aplicativo leitor de PDF, apelidado de SwiftLoader, como um meio de carregar um malware de próxima fase escrito em Rust após a visualização de um documento isca especialmente criado.

A campanha KANDYKORN é uma operação cibernética maliciosa que visou engenheiros de blockchain de uma plataforma de câmbio de criptomoedas não identificada através do Discord, iniciando uma sequência de ataque multi-estágio sofisticada que levou à implantação do trojan de acesso remoto KANDYKORN.

Segundo os pesquisadores o Grupo Lazarus está utilizando o SwiftLoader para distribuir o KANDYKORN, corroborando um relatório recente da Mandiant, de propriedade do Google, sobre como diferentes grupos de hackers da Coreia do Norte estão cada vez mais emprestando táticas e ferramentas uns dos outros.

Mandiant observou que a paisagem cibernética da Coreia do Norte evoluiu para uma organização simplificada com ferramentas e esforços de segmentação compartilhados.

Essa abordagem flexível torna difícil para os defensores rastrear, atribuir e impedir atividades maliciosas, enquanto permite que esse adversário agora colaborativo se mova furtivamente com maior velocidade e adaptabilidade.