El navegador web Internet Explorer fue se retiró oficialmente en junio a principios de este año y desde entonces ha sido reemplazado por Microsoft Edge. Sin embargo, como explica el análisis técnico de TAG, Office todavía usa el motor IE para ejecutar el JavaScript que habilita el ataque, razón por la cual funcionó en máquinas con Windows 7 a 11 y Windows Server 2008 a 2022 que no han instalado la nueva seguridad de noviembre de 2022. actualizaciones
TAG se dio cuenta de la vulnerabilidad cuando los documentos maliciosos de Microsoft Office titulados «221031 Situación de respuesta al accidente de Seoul Yongsan Itaewon (06:00).docx» se cargaron en VirusTotal el 31 de octubre de 2022. Los documentos aprovecharon la publicidad generalizada sobre la tragedia en Itaewon el 29 de octubre en el que 151 personas perdieron la vida en una multitud aplastante durante una celebración de Halloween en Seúl.
Se cree que el ataque es obra de un grupo de actores respaldados por el gobierno de Corea del Norte conocido como APT37.
El documento aprovechó una vulnerabilidad de día cero de Internet Explorer que se encuentra dentro de «jscript9.dll», el motor de JavaScript de Internet Explorer, que podría usarse para entregar malware o código malicioso al representar un sitio web controlado por el atacante. TAG atribuye el ataque a un grupo de actores respaldados por el gobierno de Corea del Norte conocido como APT37, que anteriormente utilizó exploits de día cero similares de Internet Explorer en ataques dirigidos contra desertores, legisladores, periodistas, activistas de derechos humanos y usuarios de IE de Corea del Sur. en general.
TAG dice dentro del entrada en el blog que «no recuperó una carga útil final para esta campaña», pero señala que anteriormente observó que APT37 usaba exploits similares para entregar malware como rokrat, Luz azuly Delfín. En este caso, la vulnerabilidad se informó a Microsoft pocas horas después de su descubrimiento el 31 de octubre y se corrigió el 8 de noviembre.