多名網絡安全專家已有相關證據表明，近期針對美國、加拿大、日本地區多家能源公司的網絡間諜活動和有朝鮮背景的黑客集團Lazarus 存在關聯。威脅情報公司Cisco Talos 本週四表示，觀察到Lazarus （也稱之為APT38）於今年2-7 月期間，對美國、加拿大和日本地區的多家能源供應商發起了攻擊。

根據思科的研究，黑客使用一年前曝光的Log4j（也叫做Log4jShell）漏洞，部署稱為“VSingle”和“YamaBot”的定制惡意軟件以建立長期持續訪問之後，入侵暴露在網絡上的VMware Horizon 服務器，從而在受害者的企業網絡上建立初步立足點。惡意軟件YamaBot 最近被日本國家網絡應急響應小組（CERT）認為由Lazarus APT 操縱。

賽門鐵克於今年4 月首次披露了這一間諜活動的細節，並將該行動歸咎於“Stonefly”，這是另一個與Lazarus 有一些重疊的朝鮮黑客組織。

然而，Cisco Talos 還觀察到了一個名為“MagicRAT”的以前未知的遠程訪問木馬（或RAT），歸屬於Lazarus Group，黑客使用該木馬進行偵察和竊取憑據。

Jung soo An、Asheer Malhotra、Vitor Ventura 等多位Talos 安全專家表示：“這些攻擊的主要目標可能是建立對受害者網絡的長期訪問權限，以進行間諜活動以支持朝鮮政府的目標。這項活動與Lazarus 針對關鍵基礎設施和能源公司的歷史性入侵相一致，以建立長期獲取專有知識產權的途徑”。