Il gruppo Lazarus, noto per i suoi legami con la Corea del Nord, ha preso di mira almeno sei organizzazioni sudcoreane in una campagna denominata "Operation SyncHole". Questo attacco ha coinvolto industrie quali software, IT, finanza, produzione di semiconduttori e telecomunicazioni. Secondo un rapporto di Kaspersky, il primo segnale di compromissione è stato rilevato nel novembre 2024.

La campagna si è basata su una strategia sofisticata che combina l'attacco di tipo "watering hole" e lo sfruttamento di vulnerabilità nel software sudcoreano. Un aspetto chiave di questi attacchi è stata l'exploit di una vulnerabilità in Cross EX, un software legittimo ampiamente utilizzato in Corea del Sud per garantire la sicurezza nelle operazioni bancarie online e nei siti governativi. Questa vulnerabilità è stata sfruttata per facilitare l'inserimento di malware come ThreatNeedle, AGAMEMNON, wAgent, SIGNBT e COPPERHEDGE.

Un altro punto cruciale è stato l'uso di una vulnerabilità nel software Innorix Agent per il movimento laterale all'interno delle reti compromesse, una tattica precedentemente adottata anche dal sotto-gruppo Andariel del gruppo Lazarus. Questo ha permesso agli attaccanti di distribuire varianti di malware noti e di mantenere la persistenza all'interno dei sistemi compromessi.

L'attacco ha avuto inizio con la contaminazione di siti web sudcoreani di media online, utilizzati come piattaforme di lancio per il malware. Gli utenti che visitavano questi siti venivano rediretti a un dominio controllato dagli attaccanti, dove veniva eseguito un codice maligno che sfruttava le vulnerabilità di Cross EX installato sui PC delle vittime.

La sequenza di infezione osservata si è articolata in due fasi: la prima ha visto l'uso di ThreatNeedle e wAgent per stabilire un punto d'appoggio iniziale, mentre la seconda ha impiegato SIGNBT e COPPERHEDGE per la persistenza e il riconoscimento all'interno del sistema compromesso. Inoltre, malware come LPEClient sono stati utilizzati per il profiling delle vittime e la consegna di ulteriori payload, mentre il downloader Agamemnon è stato impiegato per eseguire comandi dal server di comando e controllo (C2).

Kaspersky ha rilevato che il gruppo Lazarus è stato in grado di evitare il rilevamento migliorando costantemente il loro malware e le loro tecniche di comunicazione con i server C2. Gli attacchi mirati alle catene di approvvigionamento in Corea del Sud da parte del gruppo sono destinati a proseguire, con gli aggressori che cercano costantemente di sviluppare nuovi malware o migliorare quelli esistenti per minimizzare la probabilità di rilevamento.