Nach Angaben von Symantec und Carbon Black zeigt die Auswertung der Leak-Seite von Medusa Angriffe auf vier Gesundheits- und gemeinnützige Organisationen in den USA seit Anfang November 2025. Zu den Opfern zählten eine gemeinnützige Einrichtung aus dem Bereich der psychischen Gesundheit sowie eine Bildungseinrichtung für autistische Kinder. Ob alle diese Opfer von nordkoreanischen Akteuren oder teils von anderen Medusa-Affiliates angegriffen wurden, ist unklar. Die durchschnittliche Lösegeldforderung in diesem Zeitraum lag laut dem Bericht bei 260.000 US-Dollar.
Der Einsatz von Ransomware durch nordkoreanische Gruppen ist nicht neu. Bereits 2021 wurde ein Lazarus-Teilcluster namens Andariel (auch Stonefly) dabei beobachtet, wie es Ziele in Südkorea, Japan und den USA mit eigens entwickelten Ransomware-Familien wie SHATTEREDGLASS, Maui und H0lyGh0st angriff. Im Oktober 2024 wurde die Gruppe dann mit einem Angriff durch die Play-Ransomware in Verbindung gebracht — ein Wechsel hin zu einer fertig verfügbaren Verschlüsselungssoftware.
Andariel steht mit diesem Schritt nicht allein da. Bitdefender hatte im vergangenen Jahr berichtet, dass ein weiterer nordkoreanischer Akteur namens Moonstone Sleet, der zuvor eine eigene Ransomware namens FakePenny einsetzte, wahrscheinlich mehrere südkoreanische Finanzunternehmen mit der Qilin-Ransomware angegriffen hatte.
Diese Veränderungen deuten nach Einschätzung des Unternehmens auf eine taktische Verschiebung hin: Nordkoreanische Gruppen treten zunehmend als Partner etablierter RaaS-Betreiber auf, statt eigene Werkzeuge zu entwickeln. “Die Motivation ist höchstwahrscheinlich Pragmatismus”, sagte Dick O’Brien, leitender Analyst des Threat-Hunter-Teams von Symantec und Carbon Black. “Warum sollte man sich die Mühe machen, eine eigene Ransomware zu entwickeln, wenn man auf eine erprobte Bedrohung wie Medusa oder Qilin zurückgreifen kann? Möglicherweise haben sie entschieden, dass der Nutzen die Kosten in Form von Affiliate-Gebühren überwiegt.”
Die Medusa-Kampagne der Lazarus Group umfasst den Einsatz verschiedener Werkzeuge. Die Aktivität wurde keiner bestimmten Lazarus-Untergruppe zugeordnet, obwohl die Erpressungsangriffe früheren Andariel-Angriffen ähneln.
“Der Wechsel zu Medusa zeigt, dass Nordkoreas hemmungslose Beteiligung an Cyberkriminalität ungebrochen anhält”, so das Unternehmen. Nordkoreanische Akteure hätten offenbar kaum Skrupel, Organisationen in den USA ins Visier zu nehmen. Während manche Cyberkriminellen-Gruppen angäben, Gesundheitseinrichtungen wegen des drohenden Reputationsschadens zu meiden, scheine Lazarus in keiner Weise solchen Beschränkungen zu unterliegen.
