กลุ่มแฮ็ก ‘Lazarus’ ของเกาหลีเหนือได้พุ่งเป้าไปที่พนักงานของบริษัทการบินและอวกาศที่ตั้งอยู่ในสเปนโดย ใช้สื่อสังคมออนไลน์ LinkedIn เพื่อสร้างความสัมพันธ์กับเหยื่อก่อนให้เหยื่อโหลดไฟล์ที่อันตราย แฮ็กเกอร์ใช้ปฏิบัติการชื่อว่า ” Operation Dreamjob ” ซึ่งเกี่ยวข้องกับการเข้าถึงเป้าหมายผ่านสื่อสังคมออนไลน์ LinkedIn และมีส่วนร่วมในกระบวนการสรรหาพนักงานที่โพสหางานอยู่ใน LinkedIn และจะโน้มนาวให้เหยื่อต้องดาวน์โหลดไฟล์
ESET ได้ตรวจสอบเหตุการณ์ดังกล่าว และสามารถสร้างช่องทางการเข้าถึงชุดเครื่องมือของ Lazarus ขึ้นมาใหม่ รวมถึงแบ็คดอร์ที่ไม่มีเอกสารประกอบก่อนหน้านี้ ซึ่ง ESET ตั้งชื่อว่า ‘LightlessCan’
ESET ได้อธิบายตัวอย่างวิธีการล่อลวงของแฮ็กเกอร์ว่า แฮ็กเกอร์ได้สร้างโปรไฟล์ที่มีชื่อว่า Steve Dawson เป็นนายหน้าจาก Meta (Facebook) และเริ่มมองหาผู้ตกเป็นเหยื่อ โดยได้พุ่งเป้ามาที่พนักงานของบริษัทการบินและอวกาศ และได้ทำการพูดคุยทักทาย ก่อนจะส่งไฟล์ไปให้ดาวน์โหลด เมื่อเหยื่อได้ทำการแตกไฟล์ที่ดาวน์โหลดมา กระบวนการทำงานพื้นหลังของเครื่องเหยื่อจะเริ่มทำงานโดยเหยื่อไม่รู้ตัว และทำการดาวน์โหลดไฟล์ที่เป็นอันตรายมาติดตั้งที่ชื่อว่า NickelLoader ซึ่งเป็นส่วนหนึ่งของ BlindingCan ที่มีฟังก์ชันการทำงานที่ลดระดับลง (อ่อรู้ละทำไม ESET เรียกว่าส LightlessCan’)
LightlessCan เป็นผู้สืบทอดของ BlindingCan โดยอิงตามซอร์สโค้ดและลำดับคำสั่งที่คล้ายคลึงกัน โดยมีโครงสร้างโค้ดที่ซับซ้อนมากขึ้น การจัดทำดัชนีที่แตกต่างกัน และฟังก์ชันการทำงานที่ได้รับการปรับปรุง มัลแวร์จำลองคำสั่ง Windows ดั้งเดิม เช่น ping, ipconfig, netstant, mkdir, systeminfo ฯลฯ ดังนั้นจึงเป็นการซ่อนตัวที่ดีและไม่สามารถตรวจจับโดยเครื่องมือตรวจสอบแบบเรียลไทม์ (เพราะมันคิดว่าเป็นระบบปฏิบัติการ windows)
การค้นพบนี้ตอกย้ำว่า Operation Dreamjob ของ Lazarus ไม่ได้ขับเคลื่อนเพื่อขโมยเงินดิจิทัลเพียงอย่างเดียว แต่ยังครอบคลุมไปถึงการจารกรรมข้อมูลเป้าหมายอีกด้วย
