Operazione SyncHole: Lazarus colpisce Corea del Sud con attacchi che sfruttano bug 0day

Gli esperti di Kaspersky Lab hanno identificato una nuova e sofisticata campagna mirata del gruppo Lazarus. Gli aggressori hanno preso di mira le organizzazioni in Corea del Sud utilizzando due metodi principali: innanzitutto infettando i sistemi tramite siti di notizie legittimi (una tecnica di watering hole), poi sfruttando una vulnerabilità 0day presente nel software di trasferimento file sudcoreano denominato Innorix Agent. La campagna è stata chiamata Operazione SyncHole.

Sono state attaccate almeno sei aziende sudcoreane operanti nei settori del software, dell’informatica, della finanza, dei semiconduttori e delle telecomunicazioni. Il numero effettivo delle vittime potrebbe essere più alto. Il software utilizzato nell’attacco è stato aggiornato e le vulnerabilità sono state risolte.

Durante l’analisi della campagna, i ricercatori hanno scoperto anche un’altra vulnerabilità zero-day in Innorix Agent che gli aggressori non hanno avuto il tempo di sfruttare. Permetteva di caricare file qualsiasi. La scoperta è stata prontamente segnalata alla South Korean Cybersecurity and Internet Agency (KrCERT/CC) e al fornitore. Sono stati rilasciati gli aggiornamenti necessari . La vulnerabilità è stata identificata come KVE-2025-0014.

Gli attacchi hanno avuto inizio con l’infezione di siti di notizie legittimi: risorse con un vasto pubblico di visitatori sono state utilizzate come esca. Gli aggressori hanno filtrato il traffico sul server e reindirizzato selettivamente gli utenti di interesse verso siti dannosi, da dove è stata avviata la catena di infezione.

La fase iniziale degli attacchi ha sfruttato una vulnerabilità 0day in Innorix Agent, un software necessario per una serie di operazioni finanziarie e amministrative sui siti web sudcoreani. Il software è installato su molti computer aziendali e privati ​​e qualsiasi utente in possesso di una versione vulnerabile sarebbe potuto diventarne vittima. Sfruttando questa vulnerabilità, gli aggressori sono riusciti a muoversi attraverso la rete interna e a installare malware sugli host di destinazione. Tra questi ci sono il backdoor ThreatNeedle e il loader LPEClient, che ampliano le capacità degli aggressori nell’infrastruttura interna.

Prima che venisse scoperta la vulnerabilità in Innorix Agent, i ricercatori avevano già registrato l’uso di ThreatNeedle e SIGNBT nella rete aziendale di un’azienda sudcoreana. Il malware è stato lanciato nella memoria del processo legittimo SyncHost.exe come sottoprocesso di Cross EX, un software sudcoreano che fornisce strumenti di sicurezza nei browser.

Un approccio simile è stato individuato in altre cinque organizzazioni. In ogni caso, si ritiene che l’infezione sia iniziata con una vulnerabilità in Cross EX, che è stata successivamente confermata e risolta con una relativa notifica pubblicata da KrCERT.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Agostino Pellegrino

E’ un libero professionista, insegnante e perito di informatica Forense, Cyber Security ed Ethical Hacking e Network Management. Ha collaborato con importanti istituti di formazione a livello internazionale e ha esercitato teaching e tutorship in tecniche avanzate di Offensive Security per la NATO ottenendo importanti riconoscimenti dal Governo degli Stati Uniti. Il suo motto è “Studio. Sempre”.

Aree di competenza: Cybersecurity architecture, Threat intelligence, Digital forensics, Offensive security, Incident response & SOAR, Malware analysis, Compliance & frameworks