援引外媒TechCrunch報導，美國政府官員近期向安全專家提供了被認為曾在去年被朝鮮黑客用於發動數十次有針對性網絡攻擊而扣押的服務器，而這種舉動非常的罕見。這批被扣押的服務器叫做Operation Sharpshooter（神槍手），於去年12月首次發現，用於專門針對政府、電信公司和國防承包商傳播惡意軟件。

黑客通過電子郵件發送惡意Word文檔，一旦這些文檔被打開就會運行宏代碼下載第二階段的植入代碼–Rising Sun，黑客然後利用它進行偵查和竊取用戶數據。Operation sharpshot，所涉及到的行業包括核能、防禦、能源、金融等。

根據McAfee高級威脅研究團隊和McAfee Labs惡意軟件研究團隊的深入研究，發現Rising sun植入中使用了朝鮮黑客組織Lazarus Group在2015年使用的Backdoor.Duuzer木馬的源碼，因此有理由相信操縱這些服務器的就是Lazarus Group，但是目前始終沒有直接證據。

在安全專家對這些服務器代碼進行檢查之後，發現Operation Sharpshooter的運營時間比最初認為的還要長，最遠可追溯到2017年9月。而且調查結果顯示針對的行業和國家很多，包括金融服務，以及歐洲，英國和美國的關鍵基礎設施。

研究表明這些服務器以惡意程序的命令和控制的基礎設施進行運作，使用PHP和ASP網頁語言創建和編寫網頁端應用程序，使其易於部署和高度可擴展。服務器後端的諸多組件可以方便黑客向目標發動攻擊，每個組件都扮演特定的角色，例如植入下載器（implant downloader）：從另一個下載器託管和備份植入代碼和命令註釋器（command interpreter ）：通過中間黑客服務器操作Rising Sun植入物，以幫助隱藏更廣泛的命令結構。

儘管有證據表明Lazarus集團，但日誌文件中的證據顯示據稱來自納米比亞的一批IP地址，研究人員無法解釋。