Pesquisadores de cybersecurity descobriram uma nova campanha de phishing conduzida pelo grupo hacker ligado à Coreia do Norte conhecido como ScarCruft (também chamado de APT37) para distribuir um malware chamado RokRAT.
A atividade foi codinomeada Operation HanKook Phantom pelo Seqrite Labs, que afirmou que os ataques parecem visar indivíduos associados à National Intelligence Research Association, incluindo figuras acadêmicas, ex-funcionários do governo e pesquisadores.
“Os atacantes provavelmente têm como objetivo roubar informações sensíveis, estabelecer persistência ou realizar espionagem,” disse o pesquisador de segurança Dixit Panchal em um relatório publicado na semana passada.
O ponto de partida da cadeia de ataque é um e-mail de spear-phishing contendo um atrativo para o "National Intelligence Research Society Newsletter—Issue 52", uma newsletter periódica divulgada por um grupo de pesquisa sul-coreano focado em inteligência nacional, relações trabalhistas, segurança e questões energéticas.
A mensagem digital contém um anexo em formato ZIP que possui um atalho do Windows (LNK) disfarçado de documento PDF, que, ao ser aberto, lança a newsletter como distração enquanto instala o RokRAT no computador infectado.
O RokRAT é um malware conhecido associado ao APT37, com capacidades de coletar informações do sistema, executar comandos arbitrários, enumerar o sistema de arquivos, capturar screenshots e baixar payloads adicionais.
Os dados coletados são exfiltrados via Dropbox, Google Cloud, pCloud e Yandex Cloud.
O Seqrite afirmou ter detectado uma segunda campanha na qual o arquivo LNK serve como meio para um script PowerShell que, além de distribuir um documento falso do Microsoft Word, executa um script batch ofuscado do Windows responsável por lançar um dropper.
O binário então executa um payload de próxima fase que rouba dados sensíveis do host comprometido enquanto oculta o tráfego de rede como um upload de arquivo do Chrome.
O documento usado como isca nesta instância é uma declaração emitida por Kim Yo Jong, Vice-Diretora do Departamento de Publicidade e Informação do Partido dos Trabalhadores da Coreia, datada de 28 de julho, rejeitando os esforços de reconciliação de Seul.
“A análise dessa campanha destaca como o APT37 (ScarCruft/InkySquid) continua a empregar ataques de spear-phishing altamente personalizados, usando loaders maliciosos LNK, execução de PowerShell fileless e mecanismos de exfiltração ocultos,” comentou Panchal.
Os atacantes têm como alvo especificamente setores governamentais sul-coreanos, instituições de pesquisa e acadêmicos, com o objetivo de coleta de inteligência e espionagem de longo prazo.
Essa descoberta ocorre enquanto a empresa de cybersecurity QiAnXin detalhou ataques conduzidos pelo infame Lazarus Group (também chamado de QiAnXin), que utiliza táticas estilo ClickFix para enganar candidatos a emprego a baixar uma suposta atualização relacionada à NVIDIA para resolver problemas de câmera ou microfone durante avaliações por vídeo.
Detalhes dessa atividade foram anteriormente revelados pela Gen Digital no final de julho de 2025.
O ataque ClickFix resulta na execução de um Visual Basic Script que provoca a implantação do BeaverTail, um stealer em JavaScript que também pode entregar um backdoor baseado em Python chamado InvisibleFerret.
Além disso, os ataques abrem caminho para um backdoor com capacidades de execução de comandos e leitura/escrita de arquivos.
A divulgação também segue novas sanções impostas pelo Office of Foreign Assets Control (OFAC) do Departamento do Tesouro dos EUA contra duas pessoas e duas entidades por seu papel no esquema de trabalhadores remotos de tecnologia da informação (IT) da Coreia do Norte, usado para gerar receita ilícita para os programas de armas de destruição em massa e mísseis balísticos do regime.
O Chollima Group, em um relatório divulgado na semana passada, detalhou sua investigação sobre um cluster de IT Workers afiliado à Moonstone Sleet que eles acompanham como BABYLONGROUP, relacionado a um jogo blockchain play-to-earn (P2E) chamado DefiTankLand.
Avalia-se que Logan King, suposto CTO do DefiTankLand, na verdade seja um IT Worker norte-coreano, hipótese reforçada pelo fato de que a conta GitHub de King foi usada como referência por um freelancer ucraniano e desenvolvedor blockchain chamado “Ivan Kovch.”
“Muitos membros já haviam trabalhado anteriormente em um grande projeto de criptomoeda para uma empresa obscura chamada ICICB (que acreditamos ser uma fachada), que um dos membros não DPRK do cluster opera o mercado chinês de cibercrime FreeCity, e existe uma conexão interessante entre DeTankZone e um IT Worker mais antigo que atuava previamente na Tanzânia,” explicou o Chollima Group.
Embora o CEO do DefiTankLand, Nabil Amrani, tenha trabalhado anteriormente com Logan em outros projetos blockchain, não acreditamos que ele seja responsável por qualquer desenvolvimento.
Isso tudo indica que o jogo 'legítimo' por trás do DeTankZone da Moonstone Sleet foi de fato desenvolvido por IT Workers da DPRK, para depois ser apropriado e usado por um grupo APT norte-coreano.
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...