Google威脅分析小組（TAG）的一篇新博文顯示，2022年10月，朝鮮積極利用了一個Internet Explorer零日漏洞。這次攻擊以韓國用戶為目標，將惡意軟件嵌入參考最近首爾梨泰院人群踩踏慘案的文件中。

Internet Explorer瀏覽器早在今年6月初就正式退役了，此後被微軟Edge取代。然而，正如TAG的技術分析所解釋的那樣，Office仍在使用IE引擎來執行啟用攻擊的JavaScript，這就是為什麼它在沒有安裝2022年11月新的安全更新的Windows 7至11和Windows Server 2008至2022機器上依然存在漏洞。

當題為”221031首爾龍山梨泰院事故應對情況（06:00）.docx”的惡意微軟Office文檔於2022年10月31日被上傳到VirusTotal時，TAG意識到來自IE的漏洞依然陰魂不散。這些文件利用了10月29日在梨泰院發生的悲劇的廣泛宣傳，在這場悲劇中，151人在首爾的萬聖節慶祝活動中因人群踩踏而喪生。

TAG認為這次攻擊是由朝鮮政府支持的一個名為APT37的組織所為，該組織以前曾在針對朝鮮叛逃者、政策制定者、記者、人權活動家和韓國IE用戶的攻擊中使用類似的IE零日漏洞。

該文件利用了在”jscript9.dll”（Internet Explorer的JavaScript引擎）中發現的Internet Explorer零日漏洞，在渲染攻擊者控制的網站時，該漏洞可被用來傳遞惡意軟件或惡意代碼。

TAG在博文中說，它”沒有獲得這次攻擊活動的最終載荷”，但指出之前觀察到APT37使用類似的漏洞來輸送惡意軟件，如Rokrat、Bluelight和Dolphin。在這種情況下，該漏洞在10月31日被發現後的幾個小時內就被報告給了微軟，並在11月8日被修補。