Een groep aanvallers die zich voordoet als durfinvesteerder of recruiter heeft in een periode van zes maanden tijkd naar schatting tien miljoen dollar aan cryptovaluta van verschillende bedrijven weten te stelen, zo stelt Microsoft. De groep, die Microsoft 'Sapphire Sleet' noemt en volgens het techbedrijf vanuit Noord-Korea opereert, maakt gebruik van social engineering om bedrijven aan te vallen.

De groep doet zich geregeld voor als durfinvesteerder, waarbij ze zogenaamd willen investeren in het aan te vallen bedrijf. Vervolgens zet de groep een online meeting met medewerkers van het bedrijf op. Zodra die verbinding met de meeting willen maken krijgen ze een foutmelding te zien dat ze contact met de beheerder moeten opnemen. In werkelijkheid gaat het om de aanvallers die het slachtoffer vervolgens een script laten downloaden om de verbindingsproblemen 'op te lossen'. Het script downloadt macOS of Windows-malware op het systeem, waarmee de aanvallers cryptowallets en andere inloggegevens proberen te stelen.

Daarnaast doet de groep zich voor als recruiter op LinkedIn. Potentiële slachtoffers worden door de 'recruiter' benaderd dat ze een interessante vacature hebben waar het doelwit een goede kandidaat voor zou zijn. Ter controle vraagt de 'recruiter' het doelwit om een 'assessment' uit te voeren. Hiervoor ontvangt het doelwit inloggegevens om op een website in te loggen en code te downloaden. In werkelijkheid gaat het om malware waarmee de aanvallers toegang tot het systeem van het slachtoffer krijgen.