De Noord-Koreaanse overheid voert spionage-aanvallen uit waarbij het onder andere gebruikmaakt van de Log4j-kwetsbaarheid en LNK-bestanden, zo stellen de Amerikaanse, Britse en Zuid-Koreaanse autoriteiten in een nieuwe advisory. Volgens onder andere de FBI en NSA hebben de aanvallers het voorzien op entiteiten in verschillende sectoren, waaronder defensie, luchtvaart, nucleair en engineering om zo vertrouwelijke en geclassificeerde technische informatie en intellectueel eigendom te stelen. Dit moet de militaire en nucleaire programma's en ambities van Noord-Korea helpen, aldus de landen.

Om toegang tot organisaties te krijgen maken de aanvallers gebruik van bekende kwetsbaarheden, waaronder Log4j. Zo kan er toegang tot een webserver worden verkregen en wordt er een webshell geïnstalleerd. Vervolgens stelen de aanvallers gevoelige informatie en voeren verdere aanvallen uit. Ook versturen de aanvallers via e-mail zip-bestanden met daarin malafide LNK- en HTA-bestanden. Wanneer geopend kan het systeem met malware besmet raken.

Volgens de autoriteiten is het belangrijk dat vitale organisaties beveiligingsupdates voor kwetsbaarheden tijdig installeren, webservers tegen webshells beschermen, endpoints op malafide activiteiten monitoren en authenticatie en remote acces beveiliging versterken. Uit de waarschuwing van de drie landen blijkt dat de aanvallers een groot aantal bekende kwetsbaarheden gebruiken. Tevens worden in de advisory verschillende Indicators of Compromise gegeven waarmee organisaties de aanwezigheid van de aanvallers op hun systemen kunnen detecteren.