Kể từ năm 2019, Earth Kitsune đã phát tán các mã độc nhằm vào nhiều website ở Triều Tiên và khai thác các lỗ hổng bảo mật trong Google Chrome, Internet Explorer để kích hoạt các chuỗi lây nhiễm.
Gần đây, các chuyên gia đã công bố rằng Earth Kitsune đang chuyển hướng sang các cuộc tấn công Social engineering để đánh lừa người dùng truy cập vào các trang web độc hại. Nhóm nhằm mục tiêu vào các tổ chức khác nhau trên khắp Triều Tiên, Brazil, Trung Quốc, Nhật Bản...
Cuối năm 2022, Earth Kitsune đã tấn công vào một trang web của Triều Tiên thông qua backdoor WhiskerSpy. Khi người dùng vào xem video trên trang web sẽ hiển thị thông báo lỗi giả mạo để lừa người dùng tải xuống mã độc được ngụy trang dưới dạng Advanced Video Codec - AVC1.
Các trang web đã được cấu hình để phát tán các mã độc cho người dùng truy cập thông qua các địa chỉ IP được đặt tại Thẩm Dương (Trung Quốc), Nagoya (Nhật Bản), Brazil. Điều này làm cho cuộc tấn khó bị phát hiện.
Earth Kitsune đã lợi dụng lỗ hổng chiếm quyền điều khiển Dynamic Library Link (DLL) trong OneDrive và tiện ích mở rộng của Google Chrome để cài cắm mã độc mỗi khi trình duyệt web được khởi chạy. Backdoor WhiskerSpy cho phép đối tượng tấn công xóa, liệt kê, tải xuống tệp lệnh, chụp ảnh màn hình, chèn mã sell và thực thi mã tùy ý.
Để phòng tránh các cuộc tấn công như vậy, các cơ quan, tổ chức cần tăng cường kiểm tra, rà soát và sẵn sàng các phương án xử lý kịp thời khi phát hiện có dấu hiệu bị khai thác, tấn công mạng.
