Theo CryptoPotato, Elastic Security Labs gần đây đã phát hiện ra một cuộc xâm nhập mạng tinh vi của tin tặc Triều Tiên được cho là có liên quan đến nhóm Lazarus. Vụ việc, được theo dõi với tên REF7001, liên quan đến việc sử dụng phần mềm độc hại macOS mới có tên Kandykorn, được thiết kế đặc biệt để nhắm mục tiêu vào các kỹ sư blockchain liên quan đến nền tảng trao đổi tiền điện tử. Phần mềm độc hại được phát tán thông qua tin nhắn riêng tư trên máy chủ Discord công cộng, đây không phải là chiến thuật xâm nhập điển hình của macOS. Phần mềm độc hại Kandykorn bắt đầu liên lạc với máy chủ ra lệnh và kiểm soát (C2), sử dụng RC4 được mã hóa và triển khai cơ chế bắt tay riêng biệt. Nó kiên nhẫn chờ lệnh, cho phép tin tặc giữ quyền kiểm soát các hệ thống bị xâm nhập một cách kín đáo. Elastic Security Labs đã cung cấp những hiểu biết sâu sắc có giá trị về các khả năng của Kandykorn, thể hiện sự thành thạo của Kandykorn trong việc thực hiện tải lên và tải xuống tệp, thao tác xử lý và thực thi các lệnh hệ thống tùy ý. Phần mềm độc hại cũng sử dụng tải nhị phân phản chiếu, một kỹ thuật thực thi không dùng tệp có liên quan đến Nhóm Lazarus khét tiếng. Có bằng chứng thuyết phục liên kết cuộc tấn công này với Nhóm Lazarus ở Triều Tiên, bao gồm những điểm tương đồng về kỹ thuật, cơ sở hạ tầng mạng, chứng chỉ được sử dụng để ký phần mềm độc hại và phương pháp tùy chỉnh để phát hiện các hoạt động của Lazarus Group. Các giao dịch trực tuyến đã tiết lộ mối liên hệ giữa các vi phạm bảo mật tại Atomic Wallet, Alphapo, CoinsPaid, Stake.com và CoinEx, chứng minh thêm sự tham gia của Tập đoàn Lazarus vào các hoạt động khai thác này. Elastic Security Labs đã nhấn mạnh tầm quan trọng của các biện pháp an ninh mạng mạnh mẽ để bảo vệ khỏi những mối đe dọa như vậy.