Как сообщается в первом выпуске нового отчета компании Google под названием Threat Horizons, рассылаемые хакерами электронные письма содержат PDF-документ якобы с описанием предлагаемой должности в Samsung. Однако он модифицирован таким образом, что не открывается стандартными программами для работы с PDF. Если жертва жалуется на невозможность открыть документ, ей предлагается "помощь" в виде ссылки на "защищенный PDF-ридер", который она должна установить.
На самом деле "защищенный PDF-ридер" представляет собой модифицированную версию легитимного ПО для работы с PDF-документами PDFTron, измененную таким образом, чтобы устанавливать на системы жертв троян.
Обнаружившие вредоносную кампанию специалисты Google Threat Analysis Group отнесли ее на счет северокорейской киберпреступной группировки, атаковавшей исследователей безопасности через Twitter и другие соцсети в 2020-2021 годах.
В классификации Microsoft группировка носит название Zinc. Ее тактика озадачила специалистов по безопасности, считающих, что группировка пыталась заполучить неопубликованные уязвимости и эксплоиты у некоторых наивных и неосторожных членов сообщества. Однако атаки на южнокорейских производителей антивирусов могут отличаться от атак на исследователей, поскольку взлом их сотрудников может обеспечить хакерам возможность дальнейших атак на цепочку поставок южнокорейских организаций, использующих эти антивирусы.