חוקרי סייבר מחברת ESET מצאו שכנופיית לזרוס מכוונת למשתמשי לינוקס, כשהיא שולחת דוא"ל לקורבנות פוטנציאליים העובדים בתעשיות התוכנה או פלטפורמת DeFi, עם הבטחה לתפקיד חדש. ההודעות שנשלחות דרך לינקדאין או פלטפורמות אחרות של מדיה חברתית, הינן תכסיס שנועד לגרום לקורבנות להוריד נוזקות למחשבים שלהם.
כנופיית לזרוס מזוהה עם ממשלת צפון קוריאה ונודעה בשנים האחרונות בשל מספר מתקפות סייבר אשר כוונו למשתמשים ברחבי העולם, לרבות Operation DreamJob – מתקפת סייבר שהופעלה כתוצאה ממתקפת שרשרת אספקה על ספקית ה- VoIP חברת 3CX. ההשפעות לאחר מתקפת הסייבר על 3CX ממשיכות לזעזע את תעשיית הטכנולוגיה. דיווחים מצביעים על כך שלזארוס מכוונת ספציפית לחברות מטבעות קריפטוגרפיים המשתמשות בגרסה טרויאנית של הפלטפורמה.
בדוח שלה על מתקפת הסייבר מתארת ESET כיצד מתמקדת כנופיינת לזרוס בקורבנות במדיה החברתית, כשהיא מציעה לקורבנותיה להוריד מסמכים הטוענים שהם מכילים פרטים על תפקיד חדש. ESET מצאה ארכיון ZIP בשם HSBC job offer.pdf.zip המכיל קובץ שנראה במבט ראשון כמו PDF, אך למעשה משתמש ב- Unicode בשמו כמסווה. השימוש בנקודה בשם הקובץ הינו כנראה ניסיון להערים על מנהל הקבצים להתייחס לקובץ כקובץ הפעלה במקום PDF והדבר עלול לגרום לקובץ לפעול בלחיצה כפולה במקום לפתוח אותו עם תוכנת קריאת PDF. אם לוחצים על הקובץ, מציגה הנוזקה המכונה OdicLoader קובץ PDF מזויף תוך כדי הורדת מטען הנוזקה ברקע, אשר בעקבות בדיקה נוספת של ESET, נראה שמכוון למכונות וירטואליות של Linux VMware.
