กลุ่ม APT37 หรือที่รู้จักกันในชื่อ Red Eye หรือ ScarCruft ซึ่งเป็นกลุ่มแฮกเกอร์จากเกาหลีเหนือ กำลังใช้มัลแวร์ในลักษณะ steganography ที่ชื่อ 'M2RAT' ในการโจมตีเพื่อรวบรวมข้อมูลข่าวกรองที่สำคัญต่อรัฐบาลเกาหลีเหนือ
ตัวอย่างเช่น การใช้ backdoor บนโทรศัพท์ที่ชื่อว่า 'Dolphin' ในการติดตั้ง remote access trojan (RAT) อย่าง 'Konni' เพื่อมุ่งเป้าในการขโมยข้อมูลจากองค์กรในสหภาพยุโรป และใช้มัลแวร์ที่ชื่อว่า 'Goldbackdoor' เพื่อขโมยข้อมูลจากผู้สื่อข่าวในสหรัฐอเมริกา เป็นต้น
โดยในรายงานล่าสุดจาก AhnLab Security Emergency response Center (ASEC) นักวิจัยระบุว่า APT37 ใช้มัลแวร์สายพันธุ์ใหม่ที่เรียกว่า 'M2RAT' แบ่งการใช้งาน memory ร่วมกันระหว่างการสั่งการ และการขโมยข้อมูล โดยจะทิ้งร่องรอยการทำงานไว้น้อยมากบนเครื่องของเหยื่อ
ลักษณะการทำงาน
การโจมตีล่าสุดที่ตรวจพบโดย ASEC ถูกพบในเดือนมกราคม 2566 โดยกลุ่มแฮกเกอร์จะใช้การส่งอีเมลฟิชชิ่งที่มีไฟล์แนบที่เป็นอันตรายไปยังเป้าหมาย
เมื่อมีการเปิดไฟล์แนบจะทำให้เกิดการโจมตีโดยใช้ประโยชน์จากช่องโหว่ EPS (CVE-2017-8291) ในโปรแกรม Hangul word processor ซึ่งนิยมใช้กันทั่วไปในเกาหลีใต้ ซึ่งช่องโหว่นี้จะทำให้ shellcode เริ่มทำงานบนคอมพิวเตอร์ของเหยื่อ และทำการดาวน์โหลด และเรียกใช้โปรแกรมที่เป็นอันตรายซึ่งถูกเก็บไว้ภายในไฟล์ภาพ JPEG
โดยไฟล์ภาพ JPG จะใช้เทคนิค steganography ซึ่งทำให้สามารถซ่อนโค้ดภายในไฟล์ได้ เพื่อทำให้ M2RAT ("lskdjfei.