资安业者AhnLab揭露北韩黑客Andariel近期锁定韩国教育机构、制造业、营造业而来的攻击行动，攻击者利用后门程序来运行键盘侧录工具、窃资软件、代理服务器工具，借此控制受害电脑并窃取机密数据。

研究人员并未透露这些黑客如何入侵受害电脑，但指出约自2022年5月起，攻击者在过程中使用C++打造的后门程序Nestdoor，也有搭配Web Shell的情况，对方假借提供OpenVPN安装程序来进行散播。

而这些攻击行动的共通点，就是借由Log4Shell漏洞（CVE-2021-44228）来部署恶意程序，而之所以能运用这个管道，主要是因为受害组织使用桌面虚拟化平台VMware Horizo​​n，且当中搭配的Tomcat组件具有这个弱点。

到了最近，这些黑客也开始利用Go语言开发的恶意软件Dora RAT。

相较于Nestdoor，研究人员认为Dora RAT功能相对单纯，主要能支持反向Shell，并能让攻击者上传或下载文件。他们看到黑客运行此木马程序的方式有两种，其中一种是直接运行，另一种则是通过注入文件总管（explorer.exe）的处理进程加载。

值得留意的是，黑客滥用有效凭证签署Dora RAT，其中有些凭证的拥有者是英国软件开发业者。