Το hacking group που στις αρχές του 2013 χτύπησε τράπεζες, κυβερνητικές ιστοσελίδες και ειδησεογραφικά πρακτορεία στη Νότια Κορέα ίσως να είναι ενεργό ξανά όπως αναφέρει το Palo Alto Networks, εταιρία που παρέχει firewalls.
Η εταιρία δήλωσε ότι παρατήρησε μεγάλες ομοιότητες μεταξύ του κακόβουλου λογισμικού που χρησιμοποιήθηκε σε μια πρόσφατη επίθεση στην Ευρώπη και σ΄ αυτού στη Νότια Κορέα, τα οποία ονομάζονται Dark Seoul και Operation Troy.
Ο οργανισμός που δέχτηκε επίθεση στην Ευρώπη είναι πιθανό θύμα spear-phising, όπου ένα e-mail με συνημμένο ένα κακόβουλο λογισμικό είτε ένα επιβλαβές link στέλνεται στους εργαζόμενους.
Το κακόβουλο λογισμικό είχε τοποθετηθεί σε νόμιμο λογισμικό αναπαραγωγής βίντεο και φαίνεται ότι ο κώδικας είναι ίδιος με αυτόν που χρησιμοποιήθηκε στις Dark Seoul επιθέσεις αλλά χωρίς το καταστροφικό στοιχείο που διαγράφει τους σκληρούς δίσκους.
Οι επιθέσεις Dark Seoul έγιναν στις 20 Μαρτίου του 2013 και διέγραψαν δεδομένα από υπολογιστές τραπεζών, σταμάτησαν την λειτουργία ATM και κατέβασαν κυβερνητικές ιστοσελίδες.
Το κακόβουλο λογισμικό έχει ρυθμιστεί για να καθαρίσει το Master Boot Record ενός υπολογιστή, τον πρώτο τομέα του σκληρού δίσκου ενός υπολογιστή.Το ίδιο είδος κακόβουλου λογισμικού είχε χρησιμοποιηθεί και στις επιθέσεις στη Sony πέρυσι όπου gigabytes δεδομένων κλάπηκαν από το δίκτυο της. Η κυβέρνηση των ΗΠΑ είχε κατηγορήσει για την επίθεση τη Βόρεια Κορέα.
Τον Ιούλιο του 2013 η McAfee δημοσίευσε μια ανάλυση για τις επιθέσεις Dark Seoul, η οποία ονόμασε τις επιθέσεις Operation Troy. H ανάλυση περιγράφει επίσης και μια άλλη παράλληλη λειτουργία που στοχεύει σε κλοπή απόρρητων στρατιωτικών δεδομένων.
Στην αρχή πίστευαν ότι υπεύθυνοι για τις επιθέσεις ήταν 2 hacking groups, η Whois Hacking Team και η NewRomanic Cyber Army Team αλλά η McAfee κατέληξε στο συμπέρασμα ότι υπεύθυνο ήταν ένα μόνο hacking group.
To Palo Alto δήλωσε ότι είναι απίθανο to hacking group που βρίσκεται πίσω από τις Dark Seoul επιθέσεις να μοιράστηκε τα εργαλεία του και το κακόβουλο λογισμικό με άλλους hackers.
Οι ομοιότητες στην τακτική φαίνεται να αντισταθμίζουν τις διαφορές και το πιο πιθανό είναι ότι πρόκειται για το ίδιο hacking group που ήταν υπεύθυνο για τις Dark Seoul/Operation Troy επιθέσεις αλλά με νέο στόχο και νέα αποστολή αυτή τη φορά.
