Il gruppo Lazarus, noto attore di minacce collegato alla Repubblica Popolare Democratica di Corea (DPRK), è stato osservato nell'utilizzo di una "complessa catena di infezioni" per colpire almeno due dipendenti di un'organizzazione legata al nucleare nel gennaio 2024. Gli attacchi culminano nel dispiegamento di un nuovo backdoor modulare chiamato CookiePlus, parte di una campagna di cyber spionaggio conosciuta come Operazione Dream Job, anche monitorata come NukeSped da Kaspersky. Attiva almeno dal 2020, questa operazione è stata inizialmente esposta da ClearSky.

Spesso, queste attività mirano a sviluppatori e dipendenti in vari settori, inclusi quelli della difesa, aerospaziale, criptovalute, e altri, offrendo allettanti opportunità lavorative che portano all'installazione di malware sui loro dispositivi. Kaspersky ha rivelato che Lazarus è interessato a condurre attacchi alla supply chain, principalmente attraverso due metodi: inviare documenti malevoli o visualizzatori PDF trojanizzati con descrizioni di lavoro personalizzate, oppure distribuire strumenti di accesso remoto trojanizzati come VNC o PuTTY per convincere i bersagli a connettersi a un server specifico per una valutazione delle competenze.

Gli attacchi documentati di recente da Kaspersky coinvolgono il secondo metodo, con l'avversario che utilizza una catena di infezione completamente rinnovata, consegnando un'utilità VNC trojanizzata sotto il pretesto di una valutazione delle competenze per posizioni in aziende di difesa e aerospaziali. È interessante notare che l'utilizzo di versioni rogue delle app VNC per colpire ingegneri nucleari da parte del gruppo Lazarus è stato precedentemente evidenziato nel rapporto sulle tendenze APT di Kaspersky per il terzo trimestre del 2023.

Lazarus ha consegnato il primo file di archivio ad almeno due persone all'interno della stessa organizzazione, per poi tentare attacchi più intensivi contro il primo bersaglio dopo un mese. Le applicazioni VNC, una versione trojanizzata di TightVNC chiamata "AmazonVNC.exe", sono state distribuite sotto forma di immagini ISO e file ZIP. In altri casi, una versione legittima di UltraVNC è stata usata per caricare una DLL malevola all'interno dell'archivio ZIP.

La DLL ("vnclang.dll") funge da caricatore per un backdoor chiamato MISTPEN, scoperto da Mandiant nel settembre 2024, che ha tracciato il cluster di attività con il nome UNC2970. MISTPEN, a sua volta, è stato trovato a distribuire due payload aggiuntivi chiamati RollMid e una nuova variante di LPEClient. Kaspersky ha anche osservato il malware CookieTime su Host A, sebbene il metodo esatto utilizzato per facilitarlo rimanga sconosciuto.

Un'ulteriore indagine sulla catena degli attacchi ha rivelato che l'attore delle minacce si è mosso lateralmente da Host A a un'altra macchina (Host C), dove CookieTime è stato nuovamente utilizzato per distribuire vari payload tra febbraio e giugno 2024. CookiePlus, un nuovo programma malevolo basato su plugin, è stato camuffato come un plugin open-source di Notepad++ chiamato ComparePlus al momento della sua prima rilevazione e ora si basa su un altro progetto chiamato DirectX-Wrappers. Si sospetta che CookiePlus sia un successore di MISTPEN, dati i comportamenti sovrapposti tra le due famiglie di malware.