Un gruppo di cyber-spionaggio legato alla Corea del Nord è stato osservato sfruttare esche di phishing tematiche sui lavori per colpire potenziali vittime nei settori energetico e aerospaziale, infettandole con un backdoor precedentemente non documentato chiamato MISTPEN. Questo cluster di attività è seguito da Mandiant di proprietà di Google sotto il nome UNC2970, che si sovrappone a un gruppo di minacce noto come TEMP.Hermit, chiamato anche Lazarus Group o Diamond Sleet (ex Zinc). Il gruppo di minacce ha una storia di targeting di governi, difesa, telecomunicazioni e istituzioni finanziarie a livello mondiale dal 2013, raccogliendo intelligence strategica per promuovere gli interessi nordcoreani ed è affiliato con il Reconnaissance General Bureau (RGB).

L'azienda di intelligence sulle minacce ha osservato che UNC2970 prende di mira varie entità situate negli Stati Uniti, Regno Unito, Paesi Bassi, Cipro, Svezia, Germania, Singapore, Hong Kong e Australia. I malintenzionati mascherano le loro comunicazioni come offerte di lavoro, fingendosi reclutatori di aziende di rilievo, e modificano le descrizioni dei lavori secondo i profili delle vittime selezionate. Le descrizioni dei lavori mirano a dipendenti di livello senior o manageriale, suggerendo che il gruppo di minacce cerca di accedere a informazioni sensibili e riservate tipicamente riservate a dipendenti di alto livello.

Le catene di attacco, conosciute anche come Operation Dream Job, utilizzano esche di spear-phishing per interagire con le vittime tramite email e WhatsApp, cercando di costruire fiducia prima di inviare un file ZIP malevolo camuffato da descrizione del lavoro. In una svolta interessante, il file PDF della descrizione può essere aperto solo con una versione trojanizzata di un'applicazione legittima per la lettura di PDF chiamata Sumatra PDF, inclusa nell'archivio per distribuire MISTPEN tramite un launcher denominato BURNBOOK.

Nonostante ciò, non si tratta di un attacco alla catena di fornitura né di una vulnerabilità nel software. Piuttosto, l'attacco utilizza una versione più vecchia di Sumatra PDF, riproposta per attivare la catena di infezione. Questo metodo viene adottato dal gruppo di hacker almeno dal 2022, con Mandiant e Microsoft che evidenziano l'uso di un'ampia gamma di software open-source, tra cui PuTTY, KiTTY, TightVNC, Sumatra PDF Reader e l'installer di muPDF/Subliminal Recording.

Si ritiene che gli attori delle minacce istruiscano le vittime ad aprire il file PDF usando il programma visualizzatore di PDF incluso e armato per attivare l'esecuzione di un file DLL malevolo, un launcher C/C++ chiamato BURNBOOK. Questo file è un dropper per un DLL incorporato, 'wtsapi32.dll', tracciato come TEARPAGE e utilizzato per eseguire il backdoor MISTPEN dopo il riavvio del sistema. MISTPEN è una versione trojanizzata di un plugin legittimo di Notepad++ chiamato binhex.dll, che contiene un backdoor.

TEARPAGE, un loader incorporato in BURNBOOK, è responsabile della decrittazione e del lancio di MISTPEN. Un impianto leggero scritto in C, MISTPEN è attrezzato per scaricare ed eseguire file eseguibili portatili (PE) recuperati da un server di comando e controllo (C2). Comunica su HTTP con gli URL di Microsoft Graph seguenti. Mandiant ha anche affermato di aver scoperto vecchi artefatti di BURNBOOK e MISTPEN, suggerendo che sono migliorati iterativamente per aggiungere più funzionalità e permettere di sfuggire alla rilevazione. I primi campioni di MISTPEN sono stati scoperti utilizzando siti WordPress compromessi come domini C2.