يكشف تقرير حديث صادر عن شركة الأمن السيبراني Kaspersky أن المتسللين الكوريين الشماليين، وتحديداً مجموعة Kimsuky، يستخدمون متغيرًا جديدًا وبارزًا من البرامج الضارة يسمى “Durian” لتنفيذ هجمات على شركات العملات المشفرة الكورية الجنوبية. تم وصف الهجمات بأنها برامج أمنية شرعية مستغلة ومستمرة تستخدم حصريًا من قبل شركات العملات المشفرة في كوريا الجنوبية.
تعمل البرمجيات الخبيثة Durian، التي لم تكن معروفة سابقًا لمجتمع الأمن السيبراني، بمثابة أداة تثبيت تنشر سلسلة من البرامج الضارة، بما في ذلك باب خلفي يسمى “AppleSeed”، وأداة وكيل مخصصة تسمى LazyLoad، وأدوات شرعية أخرى مثل Chrome Remote Desktop. ويشير كاسبيرسكي إلى أن دوريان يمتلك وظيفة الباب الخلفي الشاملة، مما يسمح بتنفيذ الأوامر المسلمة، وتنزيل ملفات إضافية، وتصفية البيانات.
ومن المثير للاهتمام أن كاسبرسكي اكتشف أيضًا أن LazyLoad، أداة الوكيل التي يستخدمها دوريان، كانت مرتبطة سابقًا بـ Andariel، وهي مجموعة فرعية ضمن اتحاد القرصنة الكوري الشمالي Lazarus Group. يشير هذا إلى وجود صلة محتملة بين Kimsuky ومجموعة Lazarus الأكثر شهرة.
وفي عام 2023 وحده، كان لازاروس مسؤولاً عن سرقة أكثر من 309 مليون دولار، وهو ما يمثل حوالي 17% من إجمالي الأموال المسروقة في ذلك العام. وفقًا لتقرير صادر عن شركة Immunefi، وهي شركة للأمن السيبراني، فإن أكثر من 1.8 مليار دولار من العملات المشفرة وقعت ضحية للاختراقات والاستغلالات طوال عام 2023.