O grupo de hackers norte-coreano conhecido como APT37, também chamado de ScarCruft, foi atribuído a uma nova campanha multietapas de engenharia social em que os atacantes abordaram alvos no Facebook e os adicionaram como amigos na rede social, transformando uma ação de criação de confiança em um canal de distribuição para um trojan de acesso remoto chamado RokRAT.
“O agente malicioso utilizou duas contas no Facebook com localização definida como Pyongyang e Pyongsong, na Coreia do Norte, para identificar e filtrar alvos”, informou o Genians Security Center (GSC) em uma análise técnica da campanha.
“Depois de construir confiança por meio de solicitações de amizade, o agente transferiu a conversa para o Messenger e usou temas específicos para atrair os alvos como parte da etapa inicial de engenharia social do ataque.”
No centro da operação está o uso do que o GSC descreve como pretexting, uma tática em que os atacantes tentam enganar usuários desavisados para que instalem um visualizador de PDF dedicado, alegando que o software era necessário para abrir documentos militares criptografados.
O visualizador de PDF usado na cadeia de infecção é uma versão adulterada do Wondershare PDFelement, que, ao ser executada, aciona shellcode incorporado e permite que os invasores obtenham um ponto inicial de acesso.
Outro aspecto relevante da campanha é o uso de infraestrutura legítima, porém comprometida, para comando e controle, ou C2.
Nesse caso, os invasores exploraram um site associado à unidade de Seul de um serviço japonês de informações imobiliárias para emitir comandos maliciosos e distribuir payloads.
Além disso, o payload é entregue na forma de uma imagem JPG aparentemente inofensiva para disseminar o RokRAT.
“Trata-se de uma estratégia altamente evasiva, que combina adulteração de software legítimo, abuso de um site legítimo e disfarce por extensão de arquivo”, afirmou o GSC.
Na sequência do ataque descrita pela empresa sul-coreana de cibersegurança, os atores de ameaça criaram duas contas no Facebook, “richardmichael0828” e “johnsonsophia0414”, ambas registradas em 10 de novembro de 2025, e depois migraram a conversa para o Telegram, onde enviaram um arquivo ZIP.
O pacote continha a versão trojanizada do Wondershare PDFelement, além de quatro documentos PDF e um arquivo de texto com instruções para instalar o programa e abrir os PDFs.
O shellcode criptografado executado após a abertura do instalador adulterado permite que a amostra se comunique com o servidor C2, em “japanroom[.]com”, e baixe uma carga útil de segunda etapa, uma imagem JPG chamada “1288247428101.jpg”, usada então para entregar o payload final do RokRAT.
O malware também abusa do Zoho WorkDrive como C2, uma tática já detalhada pela Zscaler ThreatLabz em fevereiro de 2026 no contexto da campanha codinome Ruby Jumper.
Isso permite capturar screenshots, habilitar execução remota de comandos via “cmd.exe”, coletar informações do host, realizar reconhecimento do sistema e evitar a detecção por ferramentas de segurança como o Qihoo 360 Total Security, enquanto mascara o tráfego malicioso.
“Sua funcionalidade principal permaneceu relativamente estável e foi reutilizada repetidamente em várias operações ao longo do tempo”, disse o GSC.
“Isso mostra que o RokRAT tem focado menos em alterar sua funcionalidade central e mais em evoluir sua cadeia de entrega, execução e evasão.”
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...