BloxHolder kampány
A Volexity jelentése szerint az észak-koreai Lazarus csoportnak tulajdonított új kampány 2022 júniusában indult, és legalább 2022 októberéig volt aktív volt, amelynek során a „bloxholder[.]com” domaint, a HaasOnline automatizált kriptovaluta kereskedési platform klónját használták.
A weboldalról egy 12,7 MB-os Windows MSI telepítőt terjesztettek, amely a BloxHolder alkalmazásra hasonlított, azonban a QTBitcoinTrader alkalmazással összefont AppleJeus malware volt.
2022 októberében a hackercsoport tovább fejlesztette a kampányát, Microsoft Office dokumentumokat kezdett el használni a kártevő terjesztésére. A 214 KB méretű dokumentum az „OKX Binance & Huobi VIP fee comparision.xls” néven olyan egy makrót tartalmazott, amely három fájlt hoz létre a célpont számítógépén.