很少有黑客组织能像Lazarus这样那么臭名昭著。自从2007年第一次出现后，他们一直进行着大规模的网络间谍活动。2007年攻击韩国政府网站；2014年攻击Sony公司网站；2016年入侵Bangladeshi银行。这些大规模、精心组织的黑客行为让Lazarus成为了全球著名的黑客组织。他们发布的一些黑客工具也随着流行起来。

这其中RATANKBA恶意软件就是他们黑客军火库中的一个。自从2016年下半年开始使用后，这款恶意软件主要针对的是金融机构发起水坑式攻击。它的变种TROJ_RATANKBA.A针对的是银行机构。通过在2017年6月对两者的分析发现，他们已经从之前的windows系统中可移植可执行文件进化成了PowerShell脚本文件。

而且Lazarus还建立了几个临时的数据服务器来存储他们盗窃的数据资料，进入他们的后端数据库后发现了很多有价值的攻击信息和资料：

1、超过55%的受害者都是在印度或周边几个国家，这表明Lazarous黑客组织早期练手的目标可能针对的就是南亚地区或者他们估计需要收集南亚地区的数据信息。他们是在为以后发起类似攻击做演习。

2、大多数的受害者使用的都不是微软企业版操作系统，这说明现阶段RATANKBA恶意软件主要入侵的是小型企业或个人用户，对于大型企业客户他们可能用的是其他黑客工具。

3、Lazarus黑客组织的攻击日志中还记录了受害者的IP地址。通过WHOIS查询后发现没有一个IP地址对应的是大型银行或金融机构，只定位到了印度的3个互联网软件开发公司和一个韩国公司的IP地址。

RATANKBA通过微软的办公文件格式、CHM文件格式、脚本文件进行传播。利用这些文件格式的主要原因是这些格式通常是软件开发或虚拟数字货币使用较多的文件格式，因此可以推断虚拟数字货币的升值是这种黑客攻击行为的源动力。