Lazarus, północnokoreańska grupa hakerska wspierana przez państwo, od prawie dwóch dekad uznawana jest za jeden z najbardziej niebezpiecznych cybergangów na świecie. W 2025 r. grupa zwiększyła skalę swoich operacji, atakując firmy technologiczne z użyciem fałszywych pracowników IT, oszukańczych rozmów rekrutacyjnych oraz przejętego oprogramowania open source.
W tym artykule przyjrzymy się najbardziej popularnym oraz bieżącym działaniom grupy Lazarus oraz pokażemy, jak zespoły SOC mogą proaktywnie wykrywać i śledzić tego typu ataki z użyciem rozwiązań ANY.RUN.
- Największe kampanie Grupy Lazarus do tej pory
- Bieżące zagrożenia malware od Lazarus i sposoby ich wykrywania
- Jak wykrywać i śledzić ataki grupy Lazarus dzięki wiedzy cyberwywiadowczej
Największe kampanie Grupy Lazarus do tej pory
Kampanie grupy Lazarus łączą wyrafinowane mechanizmy socjotechniki i ataki na łańcuchy dostaw, stanowiąc poważne zagrożenia dla stabilności finansowej firm, bezpieczeństwa danych oraz ciągłości operacyjnej.
Północnokoreańscy pracownicy IT
Od 2024 r. grupa Lazarus wykorzystuje północnokoreańskich agentów podszywających się pod zdalnych pracowników IT (szczególnie w USA i Wielkiej Brytanii). Używając skradzionych lub wygenerowanych przez sztuczną inteligencję tożsamości, atakujący obejmują stanowiska techniczne, aby wykradać dane, instalować złośliwe oprogramowanie lub generować nielegalne dochody dla Korei Północnej.
Według Departamentu Sprawiedliwości USA, takie schematy naraziły dotychczas ponad 100 firm amerykańskich, w tym przedsiębiorstwa z listy Fortune 500. Na przykład, firma z Atlanty zajmująca się technologią blockchain straciła w wyniku ataków z wykorzystaniem fałszywych pracowników IT ponad 900 tys. dolarów.
Oprócz strat finansowych, firmy zmagają się ze zniszczoną reputacją, utratą własności intelektualnej i kontrolami regulatorów dotyczącymi luk rekrutacyjnych. Przestępcy podejmują także próby szantażu, grożąc ujawnieniem wykradzionych danych, co pogłębia zakłócenia i jeszcze bardziej zmniejsza zaufanie klientów.
Aby wykryć takie ataki, zespoły SOC potrzebują wiarygodnych narzędzi do proaktywnej analizy podejrzanych plików oraz adresów URL. Interaktywny sandbox ANY.RUN umożliwia szybkie, bezpieczne badanie złośliwego oprogramowania i phishingu.
Operacja 99: fałszywe rozmowy rekrutacyjne („zaraźliwa rozmowa o pracę”)
Operacja 99 (znana jako „zaraźliwa rozmowa o pracę”) to kampania cybergangu Lazarus i jego podgrup, takich jak Famous Chollima, wycelowana w firmy technologiczne, twórców mechanizmów związanych z kryptowalutami oraz kadrę zarządzającą. Podszywając się pod rekruterów na platformach LinkedIn, Telegram czy Calendly, Lazarus zwodzi ofiary usługami testowania oprogramowania.
W przypadku kadry zarządzającej przestępcy rozsyłają zainfekowane pliki wykonywalne, podszywające się pod aplikację Zoom i inne oprogramowanie powszechnie używane w korporacjach.
Typowe skutki ataków to kradzież kryptowalut oraz danych uwierzytelniających, przejęcie systemów i zakłócenie ciągłości operacyjnej. W niektórych przypadkach infekcja urządzeń prowadziła do kolejnych ataków w łańcuchu dostaw, dotykając klientów i partnerów. Firmy technologiczne i kryptowalutowe, uzależnione od wysoce wykwalifikowanych programistów, są idealnym celem dla sprawnych socjotechników. Ataki zakłócają rozwój produktów, narażają kod źródłowy i podważają zaufanie do rekrutacji, a koszty naprawy (np. usuwanie skutków czy opłaty prawne) obciążają budżety.
Przejmowanie pakietów z oprogramowaniem open source
Od września 2024 r. grupa Lazarus umieszcza złośliwe backdoory w sfałszowanych pakietach open source w repozytoriach takich jak GitHub i PyPI, uderzając w programistów w średnich oraz dużych firmach. Od początku 2025 r. zidentyfikowano ponad 230 zainfekowanych pakietów, które doprowadziły do ataków na 36 tys. przedsiębiorstw w Europie, Indiach i Brazylii.
Ofiary tracą dane logowania, tokeny uwierzytelniające i informacje systemowe, a koszty odzyskiwania mogą przekraczać miliony dolarów. Oprogramowanie open source jest kluczowe dla branży technologicznej i kryptowalutowej.
Ścisła współpraca między firmami z branży IT sprawia, że zainfekowanie jednego z pracowników może doprowadzić do poważnych incydentów po stronie kontrahentów i klientów. Przykładem jest atak na serwis ByBit, który doprowadził do strat w wysokości 1,5 mld dolarów. Początkowe naruszenie nastąpiło na komputerze w firmie programistycznej tworzącej wykorzystywaną przez ByBit usługę Safe{Wallet}. W wyniku dalszych działań atakujący przejęli transakcje realizowane w serwisie ByBit i przekierowali je do portfela kryptowalutowego kontrolowanego przez grupę Lazarus.
Bieżące zagrożenia malware od Lazarus i sposoby ich wykrywania
Operacje grupy Lazarus w 2025 r. wykorzystywały zaawansowane złośliwe programy oraz techniki, taktyki i procedury służące do kradzieży danych, przejmowania systemów oraz wymuszeń finansowych.
Przyjrzyjmy się rodzinom złośliwego oprogramowania wykorzystywanym przez grupę Lazarus oraz roli sandboxa w ich identyfikacji.
InvisibleFerret
InvisibleFerret to modułowe złośliwe oprogramowanie, często stosowane przez członków grupy Lazarus w ramach działań obejmujących fałszywe rekrutacje. Szkodnik potrafi przechwytywać znaki wprowadzane z klawiatury oraz zawartość ekranu w celu kradzieży danych.
InvisibleFerret infekuje komputery programistów, narażając kod źródłowy i dane klientów.
Jak widać, w trakcie analitycznej sesji w sandboksie złośliwy program próbuje połączyć się z nietypowym portem. Dzięki tej wiedzy zespół SOC może działać proaktywnie, zapobiegając incydentom i chroniąc sieć.
OtterCookie
OtterCookie to złośliwy program często umieszczany przez grupę Lazarus w przechwyconych pakietach oprogramowania open source. Służy do kradzieży tokenów uwierzytelniających, danych sesyjnych oraz portfeli kryptowalutowych w ramach wspomnianych wcześniej działań związanych z „zaraźliwymi rozmowami o pracę”. Skradzione tokeny pozwalają hakerom omijać uwierzytelnianie, a tym samym przejmować dostęp do systemów firmowych lub kont klientów.
ANY.RUN umożliwia prześledzenie całego łańcucha ataku zagrożenia OtterCookie.
Atakujący próbują wykorzystać fałszywy komunikat o błędzie, by nakłonić ofiarę do pobrania złośliwego kodu na komputer. Dodatkowo wykorzystywane są techniki, które w wielu przypadkach pozwalają ominąć działające w systemie rozwiązania bezpieczeństwa bazujące wyłącznie na sygnaturach.
Zaawansowane śledzenie zagrożeń w ANY.RUN pozwala szybko zidentyfikować niebezpieczną aktywność i powstrzymać atak, chroniąc infrastrukturę firmy.
PyLangGhost RAT
PyLangGhost to stosunkowo nowy trojan zdalnego dostępu (RAT) wykorzystywany przez grupę Lazarus. Jest dystrybuowany w ramach fałszywych rozmów o pracę oraz w przejętych pakietach oprogramowania i pozwala na długoterminową inwigilację oraz kradzież danych, w tym tajemnic handlowych. W wyniku działania tego zagrożenia firmy mogą mierzyć się z długimi przerwami technicznymi oraz karami za naruszenie regulacji związanych z ochroną danych.
Szkodnik został zidentyfikowany w atakach wykorzystujących technikę ClickFix, polegającą na wyświetlaniu fałszywych stron instruujących użytkowników do uruchomienia złośliwego skryptu, rzekomo w celu „naprawy” kamery.
Dzięki interaktywności sandboxa ANY.RUN, badacze mogą odtworzyć cały łańcuch ataku w odizolowanym środowisku, uruchomić złośliwy kod i wykryć wszystkie elementy zagrożenia.
Sandbox jednoznacznie oznacza złośliwe procesy, dając analitykom konkretne wyniki pozwalające na podjęcie szybkich reakcji.
Po zakończeniu prac dochodzeniowych ANY.RUN pozwala zgromadzić wskaźniki infekcji, co daje możliwość utworzenia reguł wykrywania celem identyfikowania podobnych zagrożeń w przyszłości.
Jak wykrywać i śledzić ataki grupy Lazarus dzięki wiedzy cyberwywiadowczej
By nadążyć za ewolucją ataków grupy Lazarus, analitycy mogą korzystać z oferowanego przez ANY.RUN narzędzia Threat Intelligence Lookup. Jest to baza oferująca najnowsze wskaźniki infekcji, pochodzące z analiz złośliwego oprogramowania i phishingu w sandboksie, realizowanych przez ponad 15 000 działów SOC na całym świecie. Gwarantuje to aktualność i błyskawiczną dostępność danych o nowych zagrożeniach.
Aby zobaczyć przykłady działań grupy Lazarus, wystarczy wprowadzić proste zapytanie:
threatName:”lazarus"
Usługa daje dostęp do wszystkich sesji sandboxa z zagrożeniami przypisanymi do grupy Lazarus – bogaty kontekst na temat używanych złośliwych narzędzi, technik, taktyk, procedur oraz całych kampanii. Na przykład, z raportu z 17 sierpnia 2025 r. wynika, że wspomniany wcześniej złośliwy program OtterCookie jest w dalszym ciągu aktywnie wykorzystywany.
Badacze mogą zagłębiać się w raporty i gromadzić wskaźniki do reguł detekcji, a także analizować najnowsze taktyki. Daje to wymierne korzyści:
- Szybsze reagowanie: skrócenie czasu reakcji dzięki zrozumieniu celu i zachowania zagrożenia.
- Bogatsze prace dochodzeniowe: łączenie artefaktów z rzeczywistymi atakami.
- Skuteczniejsza ochrona proaktywna: monitorowanie nowych zagrożeń i szybka reakcja.
- Poprawa reguł wykrywania: wykorzystanie danych cyberwywiadowczych do udoskonalenia reguł SIEM, IDS/IPS i EDR.
O ANY.RUN
ANY.RUN pomaga zespołom bezpieczeństwa w szybszym i precyzyjniejszym analizowaniu zagrożeń. Interaktywny sandbox ujawnia pełne zachowanie złośliwych obiektów w czasie rzeczywistym – od uruchamiania procesów i przekierowań po aktywność sieciową oraz pobierane pliki. Daje to analitykom pełny wgląd pozwalający na podejmowanie świadomych, opartych na dowodach decyzji w zakresie dalszych działań związanych z incydentami.
Działający w chmurze sandbox ANY.RUN nie wymaga żadnej inwestycji w dodatkowy sprzęt czy oprogramowanie i obsługuje środowiska Windows, Linux oraz Android, pozwalając na łatwą i szybką analizę phishingowych wiadomości e-mail, adresów URL oraz podejrzanych obiektów bez konieczności utrzymywania własnej, skomplikowanej infrastruktury maszyn wirtualnych.
ANY.RUN oferuje także dostęp do nieustannie uaktualnianych danych cyberwywiadowczych (w modułach Threat Intelligence Lookup oraz TI Feeds), które oferują gotowe do automatyzacji wskaźniki infekcji poprawiające jakość wykrywania, a także wzbogacają działania związane z reagowaniem oraz raportowaniem.
Wszystkie te możliwości dają analitykom szybkie, transparentne i wiarygodne mechanizmy pozwalające na dogłębne zrozumienie współczesnych cyberzagrożeń oraz usprawnienie funkcjonowania całego działu SOC.
Źródło: https://any.run/cybersecurity-blog/lazarus-group-attacks-2025/