กลุ่ม Lazarus ซึ่งคาดว่าเป็นกลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ ได้เริ่มโจมตีโดยใช้ประโยชน์จากช่องโหว่บน firmware driver ของ Dell ซึ่งถือเป็นการโจมตีในรูปแบบที่ถูกพัฒนาขึ้นจากกลุ่มผู้โจมตีที่ได้รับการสนับสนุนจากรัฐ

โดยเมื่อช่วงฤดูใบไม้ร่วงปี 2021 ได้มีปฎิบัติการ In(ter)ception โดยใช้การโจมตีในรูปแบบ Bring Your Own Vulnerable Driver (BYOVD) หรือการนำ driver ที่มีช่องโหว่ไปติดตั้งโดยการปฎิบัติการนี้มุ่งเป้าไปที่อุตสาหกรรมการบิน และอวกาศ และการป้องกันประเทศ

โดยนักวิจัยจาก ESET ระบุว่าการโจมตีนั้นจะเริ่มจากการส่ง spear-phishing ซึ่งดูเหมือนถูกส่งมาจากทาง Amazon ไปยังพนักงานของบริษัทการบินในเนเธอร์แลนด์ และนักข่าวการเมืองในเบลเยียม ซึ่งเมื่อมีการเปิดใช้ไฟล์ที่แนบมา มันจะทำการฝังโทรจันที่เป็นรูปแบบ Open source ลงไปในระบบของเหยื่อ

ESET ระบุว่าพบหลักฐานที่ Lazarus จะมีการติดตั้งเครื่องมืออย่าง เช่น FingerText และ sslSniffer ซึ่งเป็นส่วนประกอบของไลบรารี wolfSSL รวมไปถึงการติดตั้ง Backdoor ที่ชื่อว่า BLINDINGCAN หรือที่รู้จักในชื่อ AIRDRY และ ZetaNile ซึ่งสามารถใช้เพื่อควบคุมเครื่องเป้าหมายได้

แต่สิ่งที่น่าสังเกตเกี่ยวกับการโจมตีเมื่อปี 2021 ที่ผ่านมานั้น มีการพบการโจมตีโดยใช้ประโยชน์จากช่องโหว่ของ Driver Dell มาทำการเพิ่มความสามารถในการอ่าน และเขียนคำสั่งลงบนหน่วยความจำ (Memory) ได้ โดยช่องโหว่ที่ถูกใช้ในการโจมตีมีหมายเลข CVE-2021-21551 ซึ่งเป็นช่องโหว่ privilege escalation บน dbutil_2_3.sys ซึ่งถือเป็นครั้งแรกที่พบการโจมตีโดยการใช้ช่องโหว่ดังกล่าว โดยเมื่อโจมตีได้สำเร็จโซลูชันทางด้านความปลอดภัยทั้งหมดบนเครื่องที่ถูกโจมตีจะถูกปิดการทำงาน

โดย Malware นี้ใช้ชื่อว่า FudModule ซึ่งนักวิจัยด้านความปลอดภัยของระบบ และนักพัฒนาระบบป้องกันของ ESET แจ้งว่าไม่เคยพบมัลแวร์รูปแบบนี้ หรือคล้ายกับรูปแบบนี้มาก่อน

โดยแฮ็กเกอร์จะใช้การเข้าถึงการเขียนหน่วยความจำเคอร์เนลเพื่อปิดใช้งานกลไกป้องกันต่าง ๆ บนระบบปฏิบัติการ Windows ทั้งในส่วนของ Registry, file system, process creation, event tracing และอื่น ๆ

เมื่อเดือนที่ผ่านมาทาง ASEC ของ AhnLab รายงานเกี่ยวกับการใช้ประโยชน์จาก Driver ที่ชื่อว่า "ene.