Một tác nhân đe dọa liên quan đến Triều Tiên được biết đến với các hoạt động gián điệp mạng đã dần dần mở rộng thành các cuộc tấn công có động cơ tài chính liên quan đến việc triển khai ransomware, khiến nó khác biệt với các nhóm hack quốc gia khác có liên quan đến nước này.
Mandiant thuộc sở hữu của Google đang theo dõi cụm hoạt động dưới một biệt danh mới APT45, trùng lặp với các tên như Andariel, Nickel Hyatt, Onyx Sleet (trước đây là Plutonium), Silent Chollima và Stonefly.
Điều đáng nói là APT45, cùng với APT38 (hay còn gọi là BlueNoroff), APT43 (hay còn gọi là Kimsuky) và Lazarus Group (hay còn gọi là TEMP. Hermit), là các thành phần trong Tổng cục Trinh sát Triều Tiên (RGB), tổ chức tình báo quân sự hàng đầu của quốc gia.
APT45 đáng chú ý có liên quan đến việc triển khai các gia đình ransomware được theo dõi là SHATTEREDGLASS và Maui nhắm mục tiêu vào các thực thể ở Hàn Quốc, Nhật Bản và Mỹ vào năm 2021 và 2022. Thông tin chi tiết về SHATTEREDGLASS đã được Kaspersky ghi lại vào tháng 6/2021.
Một phần mềm độc hại nổi bật khác trong kho vũ khí của họ là một cửa hậu có tên Dtrack (hay còn gọi là Valefor và Preft), lần đầu tiên được sử dụng trong một cuộc tấn công mạng nhằm vào Nhà máy điện hạt nhân Kudankulam ở Ấn Độ vào năm 2019, đánh dấu một trong số ít trường hợp được biết đến công khai về các tác nhân Triều Tiên tấn công cơ sở hạ tầng quan trọng.
Những phát hiện này được đưa ra khi công ty đào tạo nâng cao nhận thức bảo mật KnowBe4 cho biết họ đã bị lừa thuê một nhân viên CNTT từ Triều Tiên làm kỹ sư phần mềm, người đã sử dụng danh tính bị đánh cắp của một công dân Mỹ và nâng cao hình ảnh của họ bằng trí tuệ nhân tạo (AI).
Đội quân công nhân CNTT, được đánh giá là một phần của Bộ Công nghiệp Đạn dược của Đảng Lao động Triều Tiên, có lịch sử tìm kiếm việc làm trong các công ty có trụ sở tại Hoa Kỳ bằng cách giả vờ ở nước này khi họ thực sự ở Trung Quốc và Nga và đăng nhập từ xa thông qua máy tính xách tay do công ty cấp được giao đến một "trang trại máy tính xách tay".
KnowBe4 cho biết họ đã phát hiện các hoạt động đáng ngờ trên máy trạm Mac được gửi cho cá nhân vào ngày 15 tháng 7 năm 2024, lúc 9:55 tối EST bao gồm thao tác các tệp lịch sử phiên, chuyển các tệp có khả năng gây hại và thực thi phần mềm độc hại. Phần mềm độc hại đã được tải xuống bằng Raspberry Pi.
Hai mươi lăm phút sau, công ty an ninh mạng có trụ sở tại Florida cho biết nó chứa thiết bị của nhân viên. Không có bằng chứng cho thấy kẻ tấn công đã truy cập trái phép vào dữ liệu hoặc hệ thống nhạy cảm.