Verschillende Russische organisaties in de telecom-, informatie-, onderwijs- en ruimtevaartindustrie zijn het doelwit geworden van een aanval die naar Korea lijkt te wijzen. Beveiligingsbedrijf FireEye ontdekte een kwaadaardig Word-bestand dat het voornamelijk op Russische doelwitten had voorzien. Het kwaadaardige bestand opent een echt Word-document, maar installeert in de achtergrond een Trojaans paard.

Naast het aanvallen van Russische doelwitten, valt de malware ook op doordat het Command & Control-kanaal op een legitiem Koreaans forum is verstopt. De malware beschikt ook over een back-up mechanisme, voor het geval het forum onbereikbaar is. In dat geval wordt de connectiviteit via een Koreaanse Yahoo! mailserver gecontroleerd.

Datadiefstal
Eenmaal actief steelt de malware allerlei inloggegevens van het systeem, waaronder door Firefox opgeslagen wachtwoorden en worden ook Microsoft Outlook accounts buitgemaakt. Wie er achter de aanval zit durft FireEye niet te zeggen. "We hebben veel aanwijzingen gevonden die op Korea als mogelijke oorsprong van de aanval duiden."

Zo worden Koreaanse fonts, Koreaanse SMTP mailserver, een Koreaans forum en een link naar een Koreaanse Wikipedia pagina gebruikt. Hoeveel machines met de malware besmet zijn geraakt is onbekend.