O Grupo Lazarus, conhecido por suas campanhas avançadas de ciberespionagem e vinculado ao governo da Coreia do Norte, lançou uma nova ofensiva contra pelo menos seis empresas sul-coreanas. Os ataques fazem parte de uma operação identificada como SyncHole, revelada por especialistas da Kaspersky.
Lazarus intensifica ofensiva na Coreia do Sul com falhas em softwares e malwares customizados
As vítimas incluem organizações dos setores de tecnologia, finanças, telecomunicações, semicondutores e desenvolvimento de software — todas alvos frequentes de espionagem industrial e ataques geopolíticos.
Ataques combinam watering hole e falhas em softwares locais
O diferencial dessa campanha foi a combinação de duas abordagens altamente eficazes: ataques do tipo watering hole, que exploram a visita de usuários a sites comprometidos, e a exploração de vulnerabilidades em programas amplamente usados na Coreia do Sul.
Entre os softwares explorados, estão o Cross EX, usado para autenticação e segurança digital em instituições financeiras e órgãos governamentais, e o Innorix Agent, uma ferramenta corporativa de transferência de arquivos. A falha no Cross EX teria permitido a execução de scripts maliciosos nos navegadores das vítimas após visitarem sites de notícias locais comprometidos.
Vetores de ataque e malwares utilizados
Após o acesso inicial, os invasores utilizaram o ThreatNeedle, um malware anteriormente associado ao Lazarus, para obter controle dos dispositivos. Esse malware foi injetado no processo legítimo SyncHost.exe, tornando a detecção mais difícil. A sequência de infecção seguiu em duas fases, com ferramentas como wAgent, SIGNBT e COPPERHEDGE sendo usadas para reconhecimento, persistência e extração de credenciais.
Notícias Relacionadas
Novidades Apple
Apple prepara mais de 15 lançamentos para 2025, incluindo iPhones, Macs e acessórios
A Apple começou 2025 com força total, já tendo lançado quatro dispositivos, mas o calendário da empresa está longe de terminar. Até o fim do ano, mais de 15 novos produtos estão programados para chegar ao mercado. De iPhones redesenhados a inovações para casa inteligente, veja o que esperar do ecossistema Apple para os próximos […]
Jogo confiável
Saiba como identificar operadores de cassino online legalizados no Brasil
Com o crescimento expressivo do setor de entretenimento digital no Brasil, o cassino online se tornou uma das principais formas de lazer entre os usuários conectados. No entanto, junto com a popularização, também aumentam os riscos para quem aposta sem saber se está utilizando uma plataforma legalizada. Saber identificar cassinos online autorizados e entender os […]
Outros malwares utilizados na campanha incluem:
- LPEClient – para perfilamento detalhado das vítimas;
- Agamemnon – downloader que traz cargas adicionais do servidor de comando e controle (C2) e utiliza técnicas para burlar soluções de segurança;
- Scripts avançados que exploram brechas no Innorix para movimentação lateral dentro das redes invadidas.
A Kaspersky também identificou uma falha zero-day adicional no Innorix Agent, agora corrigida, que permitia o download arbitrário de arquivos nos dispositivos das vítimas.
Adaptação contínua e evolução das ferramentas
O Lazarus continua a evoluir suas táticas para evitar a detecção e manter a eficácia de suas operações. Os pesquisadores observam melhorias contínuas na comunicação com os servidores C2 e na arquitetura dos comandos utilizados pelos malwares, indicando um investimento estratégico na sofisticação das ameaças.
Segundo a Kaspersky, é provável que o grupo mantenha o foco em cadeias de suprimentos e empresas estratégicas sul-coreanas, com novas variantes de malware e métodos de ataque em constante desenvolvimento.
