De officiële nieuwssite van Noord-Korea blijkt malware te verspreiden, zo heeft een beveiligingsonderzoeker die zichzelf InfoSecOtter noemt ontdekt. Op de website van het Korean Central News Agency (KCNA) vond de onderzoeker een zip-bestand dat aan bezoekers wordt aangeboden en zich zogenaamd als update voor Flash Player voordoet.

In werkelijkheid blijken de twee exe-bestanden in het zip-bestand, genaamd "Install Flash Player 10 ActiveX.exe" en "Install Flash Player 10 Plugin.exe", malware te zijn, die door 42 van de 55 virusscanners op VirusTotal worden herkend. Opmerkelijk is ook dat de malware als Flash Player 10 wordt aangeboden, want Flash Player 16 is namelijk de meest recente versie. Wat de malware precies doet op een computer zal de onderzoeker in een volgende analyse bespreken. Op deze manier zou mogelijk duidelijk kunnen worden wie erachter zit, hoewel er geen garanties zijn merkt de onderzoeker op.

Ondanks het feit dat het internet in Noord-Korea zeer beperkt is en het land één internetprovider heeft, wil dat niet zeggen dat de systemen in het land immuun voor malware zijn, zo laat Andrew Conway van spambestrijder Cloudmark weten. Een Noord-Koreaans IP-adres blijkt namelijk met de Wapomi-worm besmet te zijn en te zijn gebruikt voor het versturen van spam. Ook anti-spamorganisatie Spamhaus bevestigt dat het IP-adres spam verstuurt en op een blocklist is geplaatst.

De malware in kwestie verspreidt zich via usb-sticks en gedeelde netwerkschijven en geeft aanvallers volledige controle over de computer. Onlangs stelde de FBI nog dat Noord-Korea achter de aanval op Sony zit, maar volgens Conway laat de malware-infectie zien dat het gebruik van een besmet Noord-Koreaans systeem door de aanvallers niet kan worden uitgesloten. "Tenzij de FBI meer specifieke details over hun dossier tegen Noord-Korea vrijgeeft, waaronder e-mailheaders en mailserverlogs, zullen sommige experts blijven twijfelen of ze het wel bij het rechte eind hebben", besluit hij.