谷歌威胁分析小组(TAG)的一篇新博文显示，InternetExplorer零日漏洞在2022年10月被朝鲜积极利用。这次攻击针对韩国用户，将恶意软件嵌入到引用最近梨泰院人群粉碎的文档中首尔的悲剧。

InternetExplorer网络浏览器于今年6月初正式退役，并已被MicrosoftEdge取代。然而，正如TAG的技术分析所解释的那样，Office仍在使用IE引擎来执行启用攻击的JavaScript，这就是为什么它在Windows7到11和WindowsServer2008到2022没有安装新的2022年11月安全软件的机器上工作的原因更新。

TAG在2022年10月31日将名为“221031SeoulYongsanItaewon事故响应情况(06:00).docx”的恶意MicrosoftOffice文档上传到VirusTotal时意识到了该漏洞。这些文档利用了对这场悲剧的广泛宣传梨泰院10月29日，在首尔举行的万圣节庆祝活动中，151人在拥挤的人群中丧生。

该文档利用了在“jscript9.dll”(InternetExplorer的JavaScript引擎)中发现的InternetExplorer零日漏洞，该漏洞可用于在呈现由攻击者控制的网站时传送恶意软件或恶意代码。TAG将此次攻击归因于一群被称为APT37的朝鲜政府支持的攻击者，该攻击者之前曾使用类似的InternetExplorer零日攻击来针对朝鲜叛逃者、政策制定者、记者、人权活动家和韩国IE用户进行有针对性的攻击一般来说。

TAG在博客文章中表示，它“没有恢复此活动的最终有效负载”，但指出它之前观察到APT37使用类似的漏洞来传播Rokrat、Bluelight和Dolphin等恶意软件。在这种情况下，该漏洞在10月31日发现后数小时内被报告给Microsoft，并于11月8日修复。