ARCHIPELAGO tevékenysége
A Google Threat Analysis Group (TAG) több mint egy évtizede nyomon követi az Észak-Koreai kormány által támogatott hackertevékenységeket, köztük az APT43 tevékenységét, amit ARCHIPELAGO néven követ. A TAG 2012-ben kezdte nyomon követni az ARCHIPELAGO-t, és megfigyelte, hogy a csoport olyan személyeket céloz meg, akik szakértelemmel rendelkeznek olyan észak-koreai politikai kérdésekben, mint a szankciók, az emberi jogok és a non-proliferációs kérdések. E célpontok közé tartoznak a Google és a nem Google-fiókok, amelyek kormányzati és katonai személyzethez, agytrösztökhöz, politikai döntéshozókhoz, akadémikusokhoz és kutatókhoz tartoznak Dél-Koreában, az Egyesült Államokban és másutt.
Az gyakran küld adathalász e-maileket, ahol egy médium vagy agytröszt képviselőjének adják ki magukat, és arra kérik észak-koreai szakértőket, hogy vegyenek részt egy médiainterjúban vagy információkérésben (RFI). Az e-mailek arra kérik a címzetteket, hogy kattintsanak egy hivatkozásra az interjúkérdések vagy az RFI megtekintéséhez. Amikor a címzett rákattint, a link átirányít egy adathalász webhelyre, amely bejelentkezési üzenetnek álcázza magát. Az adathalász oldal rögzíti a bejelentkezési űrlapon megadott billentyűleütéseket, és elküldi azokat egy támadó által vezérelt URL-re. Miután a címzett megadja jelszavát, az adathalász oldal egy jóindulatú dokumentumra irányítja át a kontextusnak megfelelő interjúkérdéseket, vagy egy RFI-re, amely az eredeti adathalász e-mail tartalma alapján a címzett számára értelmes lenne.