Een ontwikkelaar van spionagemalware heeft zijn of haar eigen ip-adres en andere persoonlijke data gelekt door zichzelf met de eigen spyware te besmetten, zo laat securitybedrijf FireEye in een vandaag gepubliceerd rapport weten (pdf). De ontwikkelaar is volgens FireEye onderdeel van een groep hackers genaamd APT37 die vanuit Noord-Korea opereert en voornamelijk Zuid-Koreaanse instanties aanvalt.

Recentelijk kwam een aanval van de groep nog in het nieuws. Hierbij was een zeroday-lek in Adobe Flash Player gebruikt. De groep is echter al langer actief en in 2016 wist FireEye de groep naar Noord-Korea te traceren. Eén van de ontwikkelaars van de groep had zichzelf besmet met de spyware van de groep. Mogelijk tijdens het testen van de malware. De spyware kopieerde bestanden van de ontwikkelaar zijn computer naar een command & control-server, alsmede het ip-adres van de ontwikkelaar in Pyongyang. De server was daarnaast niet beveiligd.

Door het reverse engineeren van de malware wist FireEye de server te ontdekken en alle bestanden die daarop waren opgeslagen, waaronder die van de slordige ontwikkelaar. "Dit was een zeer gelukkig voorval en zeer bijzonder", zegt John Hultquist van FireEye tegenover Wired. Naast het ip-adres wijzen volgens het securitybedrijf ook de tijden waarop de groep actief is en de aangevallen organisaties en personen op Noord-Koreaanse betrokkenheid.