KaolinRAT
2023 nyarán az Avast azonosított egy kampányt, amely hamisított állásajánlatokon keresztül célzott meg bizonyos személyeket az ázsiai régióban. A támadás mögött álló motiváció továbbra is bizonytalan, de a támadások alacsony gyakoriságából ítélve úgy tűnik, hogy a támadó különösen a műszaki háttérrel rendelkező személyek iránt érdeklődött. Ez a kifinomultság nyilvánvaló a korábbi kutatásokból, ahol a Lazarus csoport sebezhető meghajtókat használt ki, és számos rootkit technikát hajtott végre, hogy hatékonyan vakítsa el a biztonsági termékeket és jobb perzisztenciát érjen el.
Ebben az esetben a Lazarus a biztonsági termékeket a Windows alapértelmezett illesztőprogramjában, az appid.sys-ben található sebezhetőség kihasználásával próbálta elvakítani(CVE-2024-21338).
Ez azt jelzi, hogy a Lazarus valószínűleg további erőforrásokat különített el az ilyen támadások kifejlesztésére. A kiaknázást megelőzően a Lazarus aprólékosan telepítette az eszközkészletet, fájl nélküli kártevőket alkalmazva és titkosítva az arse