محققان امنیت سایبری کمپین مخربی جدید مرتبط با گروه تهدید کیمسوکی حمایت‌شده توسط کره شمالی را شناسایی کرده‌اند که از آسیب‌پذیری رفع‌شده BlueKeep (CVE-2019-0708) در سرویس‌های Remote Desktop مایکروسافت برای دسترسی اولیه سوءاستفاده می‌کند. این فعالیت توسط مرکز اطلاعات امنیتی AhnLab با نام Larva-24005 شناخته شده و از ایمیل‌های فیشینگ حاوی فایل‌هایی که آسیب‌پذیری Equation Editor (CVE-2017-11882) را فعال می‌کنند نیز استفاده می‌کند.

پس از کسب دسترسی، مهاجمان از dropper برای نصب بدافزار MySpy و ابزار RDPWrap استفاده کرده و تنظیمات سیستم را برای فعال‌سازی دسترسی RDP تغییر می‌دهند. حمله با استقرار keyloggerهایی مانند KimaLogger و RandomQuery برای ضبط کلیدهای فشرده شده به اوج می‌رسد. این کمپین از اکتبر ۲۰۲۳ عمدتاً متوجه بخش‌های نرم‌افزار، انرژی و مالی در کره جنوبی و ژاپن بوده و کشورهای دیگری شامل آمریکا، چین، آلمان، سنگاپور و چندین کشور اروپایی و آسیایی را نیز هدف قرار داده است.