De groep aanvallers die wordt verdacht van de aanval op Sony Pictures Entertainment in 2014 zou al sinds 2009 bedrijven in allerlei landen aanvallen, zo laten AlienVault, Kaspersky Lab en Novetta vandaag weten. Aan de hand van malware die tegen Sony werd ingezet hebben de beveiligingsbedrijven verschillende andere malware-exemplaren en aanvalscampagnes ontdekt die het werk van dezelfde groep zouden zijn.

De aanvallers hebben de naam "Lazarus Group" gekregen. Uit het onderzoek blijkt dat de groep al sinds 2009 actief is, waarbij er een piek in 2011 zichtbaar was. Om bedrijven aan te vallen maakten de aanvallers gebruik van gebackdoorde software, phishingaanvallen met kwaadaardige bijlagen en een zero day-lek in de Zuid-Koreaanse Word-variant Hangul. De software wordt vooral binnen de Zuid-Koreaanse overheid gebruikt. In 2013 werden Zuid-Koreaanse banken en televisiemaatschappijen doelwit van de aanvallers, aldus de onderzoekers. Ook zou de groep verantwoordelijk voor DDoS-aanvallen tegen Amerikaanse en Zuid-Koreaanse websites zijn.

Naast Zuid-Korea heeft de groep ook bedrijven, mediabedrijven en financiële instellingen in China, Rusland, Verenigde Staten, Brazilië, Iran, India, Bangladesh, Mexico, Taiwan en Turkije aangevallen. Uit het onderzoek blijkt volgens Kaspersky Lab dat de groep gemiddeld maar 6 a 7 uur per nacht slaapt. "Dit duidt op een hardwerkend team", zegt analist Juan Andrés Guerrero-Saade. Door met het onderzoek (pdf) naar buiten te treden hopen de bedrijven de operaties van de aanvallers te verstoren.