Hackers norte-coreanos têm explorado uma vulnerabilidade recentemente corrigida no Google Chrome e em outros navegadores baseados no Chromium, utilizando-a como um zero day para disseminar o rootkit FudModule. Esse incidente destaca o esforço contínuo desses adversários estatais, que têm incorporado uma série de exploits zero day do Windows em seus arsenais nos últimos meses. A atividade foi detectada pela Microsoft em 19 de agosto de 2024 e atribuída a um grupo de ameaças rastreado como Citrine Sleet.
Este grupo é considerado um subcluster do Lazarus Group, um dos mais ativos e perigosos grupos de hackers ligados ao regime norte-coreano. A utilização do malware AppleJeus, anteriormente também associada ao subgrupo BlueNoroff do Lazarus, indica um compartilhamento de infraestrutura e ferramentas entre esses agentes de ameaça. O grupo Citrine Sleet, segundo a equipe de inteligência da Microsoft, opera a partir da Coreia do Norte e foca principalmente em instituições financeiras, com ênfase em organizações e indivíduos ligados à gestão de criptomoedas, com o objetivo de obter ganhos financeiros.
As cadeias de ataque geralmente começam com a criação de sites falsos que se passam por plataformas legítimas de negociação de criptomoedas, enganando os usuários para que instalem carteiras de criptomoedas ou aplicativos de negociação adulterados, facilitando assim o roubo de ativos digitais. No caso observado, o exploit zero day envolvia a exploração da CVE-2024-7971, uma vulnerabilidade de confusão de tipo de alta gravidade no motor V8 JavaScript e WebAssembly, permitindo que os atacantes executassem código remotamente no processo sandbox do Chromium.