กูเกิลรายงานถึงแคมเปญของกลุ่มแฮกเกอร์ที่เกี่ยวข้องกับรัฐบาลเกาหลีเหนือกลุ่มใหม่ที่มุ่งเป้านักวิจัยความปลอดภัยโดยเฉพาะ โดยแฮกเกอร์กลุ่มนี้ทำทีเป็นนักวิจัยอยู่บนทวิตเตอร์ เขียนบล็อกถึงช่องโหว่ที่เคยเปิดเผยมาก่อนแล้วเพื่อสร้างความน่าเชื่อถือให้ตัวเอง หลังจากนั้นหากมีนักวิจัยเข้าไปพูดคุยก็จะชวนไปทำวิจัยช่องโหว่ใหม่แล้วส่งโค้ดหลอกให้ไปรันในเครื่อง

ช่องโหว่หนึ่งที่กลุ่มแฮกเกอร์นี้พยายามใช้ล่อนักวิจัย เช่น CVE-2021-1647 ช่องโหว่ของ Windows Defender ที่แพตช์ไปแล้ว กลุ่มแฮกเกอร์นี้สร้างวิดีโอปลอมให้ดูเหมือนสามารถเจาะทะลุช่องโหว่เพื่อเปิด shell ของระบบได้ หากมีใครหลงเข้าไปพูดคุยด้วยก็จะชวนให้ทำวิจัยร่วมกันโดยระบุว่ากำลังพัฒนาตัวทดสอบช่องโหว่ใหม่อยู่ และส่งโค้ดเป็น Visual Studio Project มาให้ ในไฟล์ที่ส่งมาให้นั้นมีมัลแวร์อยู่และหากเปิดไฟล์ก็จะเริ่มติดต่อเซิร์ฟเวอร์ทันที

กูเกิลเปิดเผยรายชื่อผู้ใช้ทวิตเตอร์ที่เกี่ยวข้องกับกลุ่มนี้, โดเมนบล็อก, และชื่อผู้ใช้ใน LinkedIn, Keybase, Telegam รวมถึงค่าแฮชของไฟล์ที่เกี่ยวข้องทั้งหมด

ที่มา - Google Blog