Cyberthreat.id – Peneliti keamanan dari ESET, Vladislav Hrčka, mengungkapkan bahwa muatan pengunduh Wslink bernama WinorDLL64 berkaitan erat dengan kelompok APT asal Korea Utara yang dikenal sebagai Lazarus.

Dikutip dari Info Security Magazine, Hrčka mengatakan Wslink merupakan pemuat untuk binari Windows yang, tidak seperti pemuat lainnya, berjalan sebagai server dan mengeksekusi modul yang diterima dalam memori.

Ia menyebutkan, vektor kompromi Wslink awal tidak diidentifikasi, tetapi malware diunggah ke VirusTotal dari Korea Selatan setelah publikasi penasihat perusahaan.

“Muatan WinorDLL64 berfungsi sebagai pintu belakang yang terutama memperoleh informasi sistem yang luas, menyediakan sarana untuk manipulasi file, seperti exfiltrating, menimpa, dan menghapus file, dan menjalankan perintah tambahan,” kata Hrčka.

Selanjutnya, pemuat Wslink mendengarkan port yang ditentukan dalam konfigurasi file. Itu dilaporkan dapat melayani klien penghubung lainnya dan memuat muatan tambahan.

Pertama kali dilihat oleh tim Eset pada tahun 2021, Wslink tidak langsung dikaitkan oleh pakar keamanan dengan Lazarus. Koneksi dibuat baru-baru ini karena tumpang tindih di wilayah yang ditargetkan, perilaku, dan kode dengan sampel Lazarus yang diketahui. Secara khusus, tumpang tindih diamati dengan dua kampanye terkait Lazarus: operasi GhostSecret dan implan Bankshot.

“WinorDLL64 berisi tumpang tindih dalam lingkungan pengembangan, perilaku, dan kode dengan beberapa sampel Lazarus, yang menunjukkan bahwa itu mungkin alat dari gudang senjata yang luas dari grup APT yang selaras dengan Korea Utara ini,” jelas Hrčka.

Laporan ini muncul beberapa minggu setelah Biro Investigasi Federal AS (FBI) menghubungkan Lazarus Group dengan pencurian $100 juta dari perusahaan cryptocurrency Harmony. Baru-baru ini, APT diamati melakukan "kesalahan keamanan operasional" saat menargetkan perusahaan penelitian, medis, dan energi.