گروه لازاروس گفته می شود که به دولت کره شمالی مرتبط است، از آسیب پذیری Log4j با نام CVE-2021-4228 (آسیب پذیری RCE) برای به خطر انداختن سرورهای VMware Horizon استفاده کرد. بر اساس گزارشی که VMware منتشر کرده است، از ماه ژانویه تاکنون چندین گروه از این آسیب پذیری برای به خطر انداختن سرورهای این شرکت استفاده کرده اند و در پی این موضوع، VMware از تمامی مشتریان خود خواسته است تا آپدیت امنیتی مربوط به این آسیب پذیری را دانلود و نصب کنند.
محققان تیم تجزیه و تحلیل Anhab ASEC گزارش دادند که از آوریل 2022. گروه لازاروس از این آسیب پذیری در حملات علیه سرورهای VMware Horizon که به اینترنت دسترسی دارند، سوء استفاده می کند. زنجیره حمله از آسیبپذیری Log4j برای اجرای یک فرمان PowerShell به نام «ws_tomcatservice.exe» استفاده کرد. دستور PowerShell باطن NukeSped را روی سرور آسیبپذیر نصب میکند. این درب پشتی اولین بار توسط محققان Fortinet در سال 2019 تجزیه و تحلیل شد و به گروه Lazarus نسبت داده شد.
نوع تحلیل شده توسط تیم ASEC با استفاده از زبان C++ توسعه داده شد و از توابع مجازی و الگوریتم RC4 برای ارتباط C2 استفاده می کند. باطن NukeSped می تواند کارهایی مانند ضبط ضربه های کلید، گرفتن اسکرین شات و موارد دیگر را انجام دهد. حتی آخرین نسخه این در پشتی می تواند محتویات USB را تخلیه کند و با استفاده از ماژول های ویژه به وب کم دسترسی پیدا کند.
مهاجم از NukeSped برای نصب infostealer استفاده کرد. دو نوع بدافزار شناسایی شده از نوع کنسولی هستند و نتیجه نشت را در فایل های جداگانه ذخیره نمی کنند. در این روش، فرض بر این است که مهاجم از راه دور صفحه رابط کاربری گرافیکی کامپیوتر هدف را کنترل می کند یا اطلاعات را از طریق فرم هایی از سیستم هدف منتقل می کند. در برخی موارد، مهاجمان از این آسیب پذیری برای نصب Jin Miner به جای NukeSped استفاده کردند. محققان ASEC نیز یک PoC در مورد این حملات منتشر کرده اند.