Selon un rapport de l'entreprise de cybersécurité américaine FireEye (PDF), un autre groupe de " hackers d'élite " agit avec le soutien de Pyongyang et serait principalement basé en Corée du Nord. Baptisé APT37 ou Reaper, il serait actif depuis au moins 2012.
D'après FireEye, APT37 est responsable de cyberattaques ayant visé la Corée du Sud, mais a augmenté la portée de ses opérations en 2017 pour viser également le Japon, le Vietnam et le Moyen-Orient. Aérospatiale et défense, automobile, finance, éducation, médias, opérateurs.. sont autant de secteurs ciblés.
La mission principale de Reaper serait le cyberespionnage pour des intérêts stratégiques (militaires, politiques et économiques) de la Corée du Nord. Les malwares employés par APT37 n'ont toutefois pas toujours pour seul objectif d'exfiltrer des données, une charge utile a ainsi pu être destructrice.
Depuis au moins novembre 2017, le groupe a exploité une vulnérabilité 0day dans Adobe Flash Player pour distribuer un malware. Cette faille a été comblée en urgence par Adobe en début de mois. La suspicion se tournait du côté de la Corée du Nord, alors que Cisco Talos avait déjà évoqué la responsabilité d'un groupe dénommé Group 123, un autre nom pour APT37.
Pour FireEye, une vulnérabilité 0day représente en tout cas " un niveau de sophistication technique. " Cela n'évite pas les impairs. Suspecté d'être un développeur de codes malveillants pour APT37, un individu a par inadvertance divulgué des données personnelles montrant un agissement depuis une adresse IP et point d'accès associés à la Corée du Nord.
Il existe un risque que APT37 évolue de la même manière que Lazarus. Le cyberespionnage initial se transformerait alors en cyberattaque plus globale avec d'autres finalités.
