Le Threat Analysis Group (TAG) de Google a découvert deux groupes d'attaquants distincts soutenus par le gouvernement nord-coréen exploitant une vulnérabilité d'exécution de code à distance dans Chrome, CVE-2022-0609. 

L'exploit, découvert le 10 février, a été corrigé quatre jours plus tard. La première preuve de déploiement actif de ce kit d'exploit daterait du 4 janvier.

La première campagne, surnommée Operation Dream Job, ciblait plus de 250 personnes travaillant pour 10 médias, registraires de noms de domaine, fournisseurs d'hébergement Web et éditeurs de logiciels.

Les cibles ont reçu des e-mails prétendant provenir de recruteurs de Disney, Google et Oracle avec de fausses opportunités d'emploi potentielles. Les e-mails contenaient des liens usurpant des sites Web de recherche d'emploi légitimes comme Indeed et ZipRecruiter. Les victimes cliquant sur ces liens ouvraient une iframe cachée déclenchant le kit d'exploitation.

La seconde campagne, surnommée Operation AppleJeus, a ciblé plus de 85 utilisateurs dans les secteurs de la crypto-monnaie et de la fintech en exploitant le même kit d'exploitation. Cela comprenait la compromission d'au moins deux sites Web légitimes de sociétés de technologie financière et l'hébergement d'iframes cachés pour servir le kit d'exploitation aux visiteurs.

Dans d'autres cas, Google a observé de faux sites Web – déjà configurés pour distribuer des applications de crypto-monnaies « trojanisées » – hébergeant des iframes et pointant leurs visiteurs vers le kit d'exploitation.