2013年韩国实体攻击行动背后的Dark Seoul黑客团伙也许将会带着新的攻击目标回归。

据帕洛阿尔托网络的专家介绍，以韩国的银行、金融机构、政府网络和新闻机构为目标的攻击活动背后的黑客团伙仍然活跃。网络攻击事件发生在2013年，这次黑客活动被网络安全公司标记为Dark Seoul攻击或特洛伊行动。专家们注意到，在最近一次攻击中被利用的变量不包括在韩国攻击事件中出现过的那个型号的刮片元件。刮片删除了主引导记录（MBR），导致机器的引导程序崩溃。

在最近一次发生在欧洲的攻击中，攻击者们使用了某种恶意软件，专家们在这种恶意软件与之前在韩国实体攻击中散播的恶意代码之间找到了许多相似处。

最近一个欧洲组织被一网络钓鱼攻击列为目标，攻击媒介是内有恶意附件或风险链接的电子邮件。

恶意软件已经被嵌入由一家工业控制系统公司主创的合法视频播放器软件中。

来自帕洛阿尔托网络的安全专家布莱恩·李和乔希·格朗茨威格解释说，威胁因素被植入了一个由一家工业控制系统公司主创的合法视频播放器软件中，使其感染了特洛伊病毒。

帕洛阿尔托网络发布的一篇博文中写道：“初始攻击是一个类似于网络钓鱼似的电子邮件，利用了被特洛伊病毒感染了的合法软件安装可执行程序，该软件由一家工业控制系统公司主创。修改后的可执行程序仍安装有宣称含有的合法视频播放软件，但还是感染了系统。” “基于对特洛伊木马行为、二进制代码和之前报道的相似攻击的深入分析，我们已经总结出，这些样本和在Dark Seoul攻击或者说特洛伊行动中使用的原始工具是一样的。” “这一事件很有可能涉及了同一对手团伙，尽管目前的数据尚不足以证实这个结论。”

McAfee在2013年对此进行了分析，专家们确定了两个表面上独立的团体，这两个团体起初被两伙人控制，分别是Whois Hacking团队和NewRomanic网军团队。McAfee收集到的证据使公司确信，很有可能两次攻击活动背后是同一个团伙。

在最近一次攻击中使用的恶意软件通过韩国和欧洲被攻击的受害网站来控制。攻击者们选择攻击这些网站，是因为这些网站在运行过期了的程序。

帕洛阿尔托写道：“但是，战术上的相似性似乎远远大于分歧，所以很有可能这是同一个或同几个团伙制造了一开始的Dark Seoul攻击或者说特洛伊行动，只是换了一个新的目标、实施了一次新的攻击行动。”

三个参与者同时暂停了他们的行动，这种事情确实很常见，尤其是在受到安全公司调查之后。通常，当这些休眠威胁再次出现，不完全改变他们的黑客兵工厂，而且，在多数情况下，他们会重新利用部分未覆盖的控制设施。

专家们认为，光靠现有的数据，不足以清楚地说明为什么在这个时间，Dark Seoul攻击或者说特洛伊行动会再次出现。但他们将继续对此进行调查。