De acordo com o CryptoPotato, o Elastic Security Labs descobriu recentemente uma sofisticada intrusão cibernética por hackers norte-coreanos que se acredita estarem associados ao grupo Lazarus. O incidente, rastreado como REF7001, envolveu o uso de um novo malware macOS chamado Kandykorn, projetado especificamente para atingir engenheiros de blockchain envolvidos em plataformas de câmbio de criptomoedas. O malware foi distribuído por meio de uma mensagem privada em um servidor público do Discord, o que é atípico das táticas de intrusão do macOS.
O malware Kandykorn inicia a comunicação com um servidor de comando e controle (C2), utilizando RC4 criptografado e implementando um mecanismo de handshake distinto. Ele aguarda comandos pacientemente, permitindo que hackers mantenham o controle sobre os sistemas comprometidos discretamente. O Elastic Security Labs forneceu insights valiosos sobre os recursos do Kandykorn, demonstrando sua proficiência em executar upload e download de arquivos, manipulação de processos e execução de comandos arbitrários do sistema. O malware também utiliza carregamento binário reflexivo, uma técnica de execução sem arquivo associada ao notório Lazarus Group.
Há evidências convincentes ligando este ataque ao Lazarus Group na Coreia do Norte, incluindo similaridades em técnicas, infraestrutura de rede, certificados usados para assinar software malicioso e métodos personalizados para detectar atividades do Lazarus Group. Transações on-chain revelaram conexões entre violações de segurança na Atomic Wallet, Alphapo, CoinsPaid, Stake.com e CoinEx, provando ainda mais a participação do Lazarus Group nessas explorações. O Elastic Security Labs enfatizou a importância de medidas robustas de segurança cibernética para proteger contra tais ameaças.