Uma ameaça com um vínculo com a Coréia do Norte foi encontrada se aproveitando de uma "nova metodologia de spear phish" que envolve o uso de versões trojanizadas do cliente PuTTY SSH e Telnet. "A UNC4034 estabeleceu comunicação com a vítima pelo WhatsApp e os atraiu a baixar um pacote ISO malicioso relativo a uma oferta de trabalho falsa que levou à implantação do backdoor AIRDRY-V2 através de uma instância trojanizada do utilitário PuTTY", disseram os pesquisadores da Mandiant.
O uso de iscas de trabalho fabricadas como um caminho para a distribuição de malware é uma tática frequentemente utilizada por atores patrocinados pelo estado norte-coreano, incluindo o Grupo Lazarus, como parte de uma campanha duradoura chamada Operação Trabalho dos Sonhos.
O arquivo, por sua vez, contém um arquivo de texto contendo um endereço IP e credenciais de login, e uma versão alterada do PuTTY que, por sua vez, carrega um conta-gotas chamado DAVESHELL, que implementa uma variante mais nova de um backdoor apelidado de AIRDRY. É provável que o ator de ameaça tenha convencido a vítima a iniciar uma sessão PuTTY e usar as credenciais fornecidas no arquivo TXT para se conectar ao host remoto, ativando efetivamente a infecção. As informações são do The Hacker News.