وفقًا لـ CryptoPotato، كشفت شركة Elastic Security Labs مؤخرًا عن اختراق إلكتروني متطور من قبل قراصنة كوريين شماليين يُعتقد أنهم مرتبطون بمجموعة Lazarus. تضمنت الحادثة، التي تم تتبعها باسم REF7001، استخدام برنامج ضار جديد لنظام التشغيل MacOS يسمى Kandykorn، مصمم خصيصًا لاستهداف مهندسي blockchain المشاركين في منصات تبادل العملات المشفرة. تم توزيع البرمجيات الخبيثة من خلال رسالة خاصة على خادم Discord عام، وهو أمر غير معتاد من تكتيكات التطفل على نظام التشغيل macOS. تبدأ البرمجيات الخبيثة Kandykorn الاتصال مع خادم القيادة والتحكم (C2)، باستخدام RC4 المشفر وتنفيذ آلية مصافحة متميزة. فهو ينتظر الأوامر بصبر، مما يسمح للمتسللين بالاحتفاظ بالسيطرة على الأنظمة المخترقة بسرية. قدمت Elastic Security Labs رؤى قيمة حول إمكانيات Kandykorn، حيث أظهرت كفاءتها في أداء تحميل الملفات وتنزيلها، ومعالجة العمليات، وتنفيذ أوامر النظام العشوائية. تستخدم البرامج الضارة أيضًا التحميل الثنائي الانعكاسي، وهي تقنية تنفيذ بدون ملفات مرتبطة بمجموعة Lazarus سيئة السمعة. هناك أدلة دامغة تربط هذا الهجوم بمجموعة Lazarus في كوريا الشمالية، بما في ذلك أوجه التشابه في التقنيات والبنية التحتية للشبكة والشهادات المستخدمة لتوقيع البرامج الضارة و طرق مخصصة للكشف عن أنشطة مجموعة لازاروس. كشفت المعاملات عبر السلسلة عن وجود روابط بين الخروقات الأمنية في Atomic Wallet وAlphapo وCoinsPaid وStake.com وCoinEx، مما يثبت بشكل أكبر مشاركة مجموعة Lazarus Group في هذه الثغرات. وقد أكدت Elastic Security Labs على أهمية تدابير الأمن السيبراني القوية للحماية من مثل هذه التهديدات.