Grupa Lazarus, rzekomo wspierana przez Koreę Północną, kontynuuje swoje działania na polu cyberataków, skierowując swoją uwagę na użytkowników LinkedIn. Według najnowszych doniesień, grupa wykorzystuje złożone operacje phishingowe, podszywając się pod wysokiego rangą pracownika z Fenbushi Capital, znanej chińskiej firmy zajmującej się zarządzaniem aktywami blockchain.
Zespół SlowMist, specjalizujący się w cyberbezpieczeństwie, ujawnił, że hakerzy tworzą fałszywe profile na LinkedIn i kontaktują się z pracownikami działu HR oraz menedżerami rekrutacji w firmach związanych z branżą blockchain. Następnie wysyłają linki zawierające złośliwe oprogramowanie, udając kod, aby wydobyć dane ofiary. Według analiz, funkcja okresowa o nazwie „stealEverything” ma na celu wyciągnięcie jak najwięcej danych i przesłanie ich na serwer kontrolowany przez atakujących.
Najnowsza taktyka grupy Lazarus polega na tworzeniu fałszywych profili na LinkedIn, przy czym jeden z nich podszywa się pod „Nevila Bolsona”, rzekomo partnera założyciela Fenbushi Capital. Hakerzy starają się na drodze prywatnych rozmów na LinkedIn nawiązać zaufanie z potencjalnymi celami, często pod pretekstem omówienia okazji inwestycyjnych czy ustalenia spotkania.
Badania SlowMist ujawniły, że grupa Lazarus często celuje w renomowane projekty związane z DeFi, wykorzystując pozory członków firm inwestycyjnych, aby zdobyć zaufanie ofiar. Z analizy adresów IP i strategii ataku wynika jednoznacznie, że „Nevil Bolson” jest częścią Lazarusa, potwierdzając złowrogie zamiary grupy. Dochodzenie wskazało również na ogromną skalę cyberprzestępczości związanej z kryptowalutami, gdzie w 2023 roku skradziono aż 1,7 miliarda dolarów z przestrzeni kryptowalutowej poprzez 231 ataków hakerskich.
Grupa Lazarus nadal stanowi poważne zagrożenie dla bezpieczeństwa kryptowalut. Poza ostatnimi działaniami na LinkedIn, hakerzy dokonali licznych ataków eksploatacyjnych w ostatnich dniach. Raporty wskazują, że grupa zaangażowała się między innymi w pranie pieniędzy za pomocą popularnego miksera kryptowalut, co miało negatywny wpływ na kurs niektórych kryptowalut jak np. RAIL. Elliptic opublikował analizę sugerującą, że grupa Lazarus wykorzystuje Railgun do prania pieniędzy, co skompromitowało efektywność tego protokołu prywatności. U.S. na czele z aliantami widzą działalność malwersacyjną Korei Północnej jako zagrożenie dla bezpieczeństwa narodowego, co skutkowało sankcjami na miks kryptowalut Sinbad, uważanym za kluczowe narzędzie prania brudnych pieniędzy przez reżim.