یک گروه هکری مستقر در کره شمالی، بدافزار جدیدی را جهت جمع آوری اطلاعات مربوط به دستگاههای بلوتوث متصل به سیستمهای ویندوز توسعه داده است. در سیستمهای آلوده، بدافزار از API بلوتوث ویندوز برای جمع آوری دادههای قربانیان از جمله نام دستگاه، نوع دستگاه، آدرس و اینکه آیا دستگاه در حال حاضر متصل و معتبر است، استفاده میکند.
هنوز روشن نیست که چرا هکرهای کره شمالی چنین طیف وسیعی از اطلاعات را از دستگاههای بلوتوث جمع آوری میکنند. شاید بهتر باشد که هکرها ابتدا ترکیب دستگاه قربانی را درک کرده و سپس به دستگاه بلوتوث آنها حمله کنند. به گفته آزمایشگاه کسپرسکی، این بدافزار تحت مالکیت یک سازمان هکری به نام ScarCruft است، و کسپرسکی از سال ۲۰۱۶ در حال ردیابی این سازمان هکری بوده است. سازمان ScarCruft گردهماییهای سیاسی و جاسوسی را هدف حملات خود قرار میدهد.
کسپرسکی چندین مورد از قربانیان این بدافزار را از میان شرکتهای سرمایه گذاری و تجاری واقع در ویتنام و روسیه شناسایی کرده است. احتمال میرود این شرکتها با کره شمالی ارتباطاتی داشته باشند، و همین موضوع باعث شده که ScarCruft از نزدیک آنها را زیر نظر بگیرد. علاوه بر این، ScarCruft به یک موسسه دیپلماتیک در هنگ کنگ و کره شمالی نیز حمله کرده است.
کسپرسکی خاطرنشان کرد که برخی از این قربانیان قبلاً نیز توسط سایر گروههای هکری کره شمالی از جمله DarkHotel مورد حمله قرار گرفته بودند. این نشان میدهد که برخی از سازمانهای هکری، سهواً و بهطور مستقل به قربانیان مشابه حمله کردهاند.
بررسیها حاکی از آن است که گروه هکری مذکور همجنان فعال بوده و دائماً در حال پیشرفته کردن ابراز حمله خود است تا دامنه اطلاعات جمع آوری شده از قربانیان را گسترش دهد.