Theo Kaspersky, các cuộc tấn công đã bắt đầu diễn ra từ tháng 8 đến tháng 11 năm ngoái, ban đầu hướng vào 2 công ty tiền điện tử của Hàn Quốc. Đứng sau các cuộc tấn này là nhóm hacker Kimsuky – được cho là có liên quan đến Triều Tiên.
Trong báo cáo về tình hình anh ninh mạng mới đây của mình, Kaspersky cho biết: "Vào cuối năm 2023, chúng tôi đã phát hiện ra một biến thể phần mềm độc hại đáng chú ý do nhóm Kimsuky đứng sau, phát tán bằng cách khai thác phần mềm hợp pháp dành riêng cho Hàn Quốc. Mặc dù phương pháp được sử dụng để thao túng các phần mềm hợp pháp chưa được xác định do cơ chế lây nhiễm ban đầu vẫn chưa rõ ràng, chúng tôi xác nhận rằng phần mềm hợp pháp đã thiết lập kết nối với máy chủ của kẻ tấn công. Sau đó, nó truy xuất một tệp độc hại, từ đó bắt đầu giai đoạn đầu tiên của phần mềm độc hại".
Phần mềm độc hại giai đoạn đầu hoạt động như một trình cài đặt thông thường, có thể tồn tại lâu trong máy chủ của nạn nhân. Sau khi đã ẩn thân an toàn, mã độc bắt đầu tự động thêm vào Windows những phần mềm độc hại khác.
Mã độc Durian có khả năng tạo ra “cửa hậu” (Backdoor), cho phép hacker có thể vượt qua tường lửa để xâm nhập vào hệ thống của thiết bị mà không cần sự cho phép của người dùng. Sau khi các mã độc đã xâm nhập thành công, hacker có thể chiếm quyền điều khiển từ xa, thực hiện các lệnh tải xuống, gửi tệp và trích xuất thông tin, dữ liệu trên máy chủ của nạn nhân bao gồm cookie, thông tin đăng nhập, từ đó gây ra những hậu quả khôn lường như tấn công vào các ví điện tử và đánh cắp hàng triệu USD.
Như vậy, Durian được thiết kế để làm “đường dẫn” cho nhiều phần mềm độc hại khác có thể xâm nhập và tấn công vào các thiết bị. Các chuyên gia của Kaspersky cũng cho rằng, nhóm tin tặc Kimsuky dường như có mối liên hệ với các nhóm hacker khét tiếng khác như Lazarus Group - cũng được cho là đến từ Triều Tiên.
Lazarus lần đầu tiên xuất hiện vào năm 2009, đã nhanh chóng khẳng định vị thế là một trong những nhóm hacker tiền điện tử nổi tiếng nhất. Nhà nghiên cứu blockchain độc lập ZachXBT gần đây cũng tiết lộ rằng Lazaus đã rửa tiền thành công 200 triệu USD tiền điện tử trong giai đoạn từ 2020 đến 2023.
Nhóm hacker sừng sỏ này đã lấy cắp hơn 3 tỷ USD tài sản tiền điện tử trong 6 năm, tính từ 2023. Chỉ riêng trong năm 2023, nhóm tin tặc này đã lấy cắp hơn 309 triệu USD – chiếm hơn 17% tổng số tiền bị hack trên toàn cầu. Theo Immunefi, đã có tới hơn 1,8 tỷ USD tiền điện tử đã bị mất do các cuộc tấn công và khai thác.