Nạn nhân của chiến dịch này bao gồm các công ty đầu tư và thương mại ở Việt Nam và Nga có mối liên kết với Triều Tiên.
Các nhà nghiên cứu của Kaspersky Lab cho biết, họ vừa phát hiện ScarCruft (một nhóm hacker đầy tinh vi đến từ Hàn Quốc) đang tạo ra và thử nghiệm nhiều công cụ và kỹ thuật mới, đồng thời mở rộng cả phạm vi và lượng thông tin thu thập được từ nạn nhân. Ngoài ra, ScarCruft cũng tạo được mã độc có khả năng nhận ra và tấn công các thiết bị kết nối bluetooth.
Những khu vực bị ScarCruft tấn công nhiều nhất (màu đỏ), trong đó có Việt Nam.
Cuộc tấn công có chủ đích (APT) của ScarCruft được cho là được nhà nước tài trợ, thường nhắm vào các thực thể chính phủ và những công ty có liên quan đến bán đảo Triều Tiên, với mục đích tìm kiếm thông tin nhằm phục vụ lợi ích chính trị. Trong những hoạt động mới nhất được phát hiện bởi Kaspersky Lab, có dấu hiệu cho thấy nhóm hacker này đang phát triển và thử nghiệm khai thác những lỗ hổng bảo mật mới.
Giai đoạn đầu, mã độc do ScarCruft tạo ra có khả năng qua mặt UAC (User Account Control) trên Windows, cho phép nó thực hiện nhiệm vụ tiếp theo với các đặc quyền cao hơn. Để tránh bị phát hiện ở cấp độ mạng, phần mềm độc hại sử dụng chức năng ẩn mã độc trong tệp hình ảnh. Giai đoạn cuối liên quan đến việc cài đặt một cửa hậu dựa trên dịch vụ đám mây được gọi là Rokrat. Cửa hậu thu thập một loạt thông tin từ hệ thống và thiết bị của nạn nhân, và có thể chuyển tiếp thông tin đến 4 dịch vụ đám mây: Box, Dropbox, pCloud và Yandex.Disk.
Các nhà nghiên cứu của Kaspersky Lab cũng đã phát hiện ScarCruft dành mối quan tâm rất lớn trong việc đánh cắp dữ liệu từ thiết bị di động, cũng như phần mềm độc hại phát tán mã độc thông qua thiết bị sử dụng API Bluetooth trên Windows.
Nạn nhân của chiến dịch này bao gồm các công ty đầu tư và thương mại ở Việt Nam và Nga có mối liên kết với Triều Tiên, và các tổ chức ngoại giao ở Hồng Kông và Bắc Triều Tiên. Một nạn nhân ở Nga bị ScarCruft tấn công từng bị nhóm Dark Hotel xuất phát từ Hàn Quốc tấn công trước đó.