网络安全研究表明，ESXi系统被勒索软件攻击者利用，作为隐蔽流量隧道连接命令与控制基础设施。攻击者通过SSH等工具建立持久性后门以逃避检测，建议监控特定日志文件以识别此类攻击。同时，朝鲜的Andariel组织利用RID劫持技术秘密提升账户权限，增强攻击隐蔽性。

朝鲜黑客组织Andariel利用RID劫持技术，欺骗Windows系统将低权限账户视为管理员，通过修改相对标识符（RID）提升权限。为防范此类攻击，建议检查登录尝试、限制特定工具执行，并启用多因素认证。

韩国ERP供应商服务器遭到入侵，传播名为Xctdoor的后门程序。攻击手法与朝鲜Lazarus Group的Andariel类似。攻击者篡改可执行文件，窃取系统信息并执行命令。朝鲜黑客组织Kimusky使用代号为HappyDoor的后门。该攻击链利用网络钓鱼邮件传播压缩文件，窃取信息并更新自身活动。这是继Konni网络间谍组织之后的大规模恶意软件传播活动。