- Published on
ScarCruft ataca acadêmicos sul-coreanos com malware RokRAT
- Authors
- Name
- Bot
ScarCruft Utiliza Malware RokRAT na Operação HanKook Phantom Contra Acadêmicos Sul-Coreanos
Pesquisadores de segurança cibernética identificaram uma nova campanha de phishing conduzida pelo grupo de hacking ScarCruft (também conhecido como APT37), vinculado à Coreia do Norte, para distribuir o malware RokRAT.
A operação, batizada de "Operação HanKook Phantom" pela Seqrite Labs, tem como alvo indivíduos associados à Associação Nacional de Pesquisa em Inteligência, incluindo acadêmicos, ex-funcionários do governo e pesquisadores. O objetivo provável é roubar informações sensíveis, estabelecer persistência ou realizar espionagem.
O ataque começa com um e-mail de spear-phishing contendo uma isca de "Boletim da Sociedade de Pesquisa em Inteligência Nacional — Edição 52". O anexo ZIP inclui um arquivo LNK disfarçado de documento PDF que, ao ser aberto, executa o boletim como isca enquanto instala secretamente o RokRAT.
O RokRAT é capaz de coletar informações do sistema, executar comandos arbitrários, enumerar o sistema de arquivos, capturar screenshots e baixar cargas adicionais. Os dados são exfiltrados via serviços de nuvem como Dropbox, Google Cloud, pCloud e Yandex Cloud.
Uma segunda campanha detectada usa um arquivo LNK para executar um script PowerShell que implanta um dropper, além de exibir um documento Word de decoy. O payload final rouba dados sensíveis enquanto camufla o tráfego de rede como um upload de arquivo do Chrome.
Os ataques demonstram que o APT37 continua usando campanhas de spear-phishing altamente direcionadas com carregadores LNK maliciosos, execução fileless do PowerShell e mecanismos de exfiltração covertos, visando setores governamentais sul-coreanos, instituições de pesquisa e acadêmicos para espionagem de longo prazo.
O artigo também menciona atividades paralelas do Grupo Lazarus usando táticas ClickFix para enganar candidatos a emprego com uma suposta atualização da NVIDIA, resultando na implantação do stealers BeaverTail e backdoor InvisibleFerret.
O contexto inclui novas sanções dos EUA contra trabalhadores de TI norte-coreanos envolvidos em esquemas de geração de receita ilícita para programas de armas de destruição em massa do regime.