O grupo de ameaças norte-coreano ScarCruft foi associado a um novo conjunto de ferramentas, incluindo um backdoor que utiliza o Zoho WorkDrive para comunicação de comando e controle (C2), permitindo o download de payloads adicionais, e um implant que usa mídia removível para transmitir comandos e invadir redes isoladas (air-gapped).
A campanha, batizada de Ruby Jumper pela empresa Zscaler ThreatLabz, envolve diversas famílias de malware, como RESTLEAF, SNAKEDROPPER, THUMBSBD, VIRUSTASK, FOOTWINE e BLUELIGHT, com o objetivo de realizar vigilância nas máquinas das vítimas.
A descoberta foi feita pela companhia de cibersegurança em dezembro de 2025.
Segundo o pesquisador Seongsu Park, “na campanha Ruby Jumper, ao abrir um arquivo LNK malicioso, um comando PowerShell é executado para escanear o diretório atual e localizar o próprio arquivo com base no tamanho”.
O script PowerShell, então, extrai várias cargas ocultas em posições fixas dentro do arquivo LNK, incluindo um documento falso, um executável, outro script PowerShell e um arquivo em lote.
Um dos documentos usados como isca exibe um artigo sobre o conflito Palestina-Israel, traduzido de um jornal norte-coreano para o árabe, buscando reforçar a credibilidade e embasar o ataque.
Os três payloads restantes são responsáveis por avançar as etapas da infecção.
O script em lote chama o PowerShell, que carrega e executa um shellcode descriptografado em memória.
O payload executável para Windows, chamado RESTLEAF, utiliza o Zoho WorkDrive para comunicação C2 — esta é a primeira vez que o grupo usa esse serviço de armazenamento em nuvem em suas campanhas.
Após autenticar-se na infraestrutura do Zoho WorkDrive por meio de um token válido, o RESTLEAF baixa um shellcode que é injetado em processos para execução.
Isso culmina na instalação do SNAKEDROPPER, que prepara o ambiente instalando o runtime Ruby, cria persistência via tarefa agendada e entrega os módulos THUMBSBD e VIRUSTASK.
O THUMBSBD se disfarça como um arquivo Ruby e utiliza mídias removíveis para retransmitir comandos e transferir dados entre dispositivos conectados à internet e sistemas isolados.
Ele coleta informações do sistema, baixa payloads secundários, exfiltra arquivos e executa comandos arbitrários.
Caso detecte mídia removível, cria uma pasta oculta para armazenar comandos do operador ou resultados das execuções.
Entre os payloads entregues pelo THUMBSBD está o FOOTWINE, um componente criptografado com launcher integrado, capaz de registrar teclas, capturar áudio e vídeo — funções típicas de espionagem.
Ele se comunica com o servidor C2 via protocolo binário personalizado sobre TCP, suportando comandos como shell interativo, manipulação de arquivos e diretórios, gerenciamento de plugins, modificação do registro do Windows, captura de tela, keylogging, vigilância por áudio e vídeo, execução de scripts em lote, configuração de proxy e carregamento de DLLs.
Além disso, o THUMBSBD distribui o backdoor BLUELIGHT, anteriormente vinculado ao ScarCruft desde 2021.
Esse malware abusa de provedores de nuvem legítimos como Google Drive, Microsoft OneDrive, pCloud e Backblaze para C2, permitindo executar comandos, explorar o sistema de arquivos, transferir payloads e se autoexcluir.
O VIRUSTASK, também entregue como arquivo Ruby, atua como propagador via mídia removível para sistemas isolados, similar ao THUMBSBD.
Conforme Park, “ao contrário do THUMBSBD, que executa comandos e exfiltra dados, o VIRUSTASK foca exclusivamente em usar mídia removível para obter acesso inicial a sistemas air-gapped”.
Em resumo, a campanha Ruby Jumper representa uma cadeia de infecção em múltiplas etapas, iniciada por um arquivo LNK malicioso e que utiliza serviços legítimos de nuvem para rodar um ambiente Ruby independente.
O uso de mídias removíveis, por meio do THUMBSBD e VIRUSTASK, é a principal técnica para ultrapassar a segregação de redes e comprometer sistemas isolados.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...