O grupo norte-coreano APT37, também conhecido como ScarCruft, foi ligado a uma nova campanha de espionagem digital que começa em redes sociais e termina com a infecção silenciosa por malware. O objetivo principal é coletar informações sensíveis das vítimas por meio do trojan RokRAT.
A investigação foi conduzida pelo Genians Security Center, que identificou a criação de contas falsas no Facebook como ponto de partida do ataque.
Engenharia social começa com pedido de amizade
Os atacantes criaram perfis falsos e enviaram solicitações de amizade para possíveis alvos. Após ganhar confiança, a conversa era transferida para o Telegram, onde a vítima recebia um arquivo compactado chamado “m.zip”.
O conteúdo incluía um programa malicioso disfarçado de leitor de PDF, além de documentos com temática militar usados como isca. Os criminosos alegavam que os arquivos eram confidenciais e exigiam um software específico para serem abertos — uma técnica conhecida como pretexting, que cria um cenário falso para induzir a vítima ao erro.
Software legítimo adulterado esconde o ataque
O executável usado no golpe é baseado no Wondershare PDFelement, um programa legítimo. No entanto, os atacantes modificaram o instalador original para incluir código malicioso.
Ao ser executado, o programa aparenta funcionar normalmente, mas em segundo plano ativa um shellcode escondido. Esse código cria um processo legítimo do Windows e injeta nele o malware, permitindo que a infecção aconteça sem levantar suspeitas.
Comunicação maliciosa disfarçada de imagem
Para se comunicar com os servidores de controle, o malware utiliza um domínio comprometido e solicita um arquivo com extensão “.jpg”. Apesar da aparência inofensiva, o conteúdo real é um código criptografado que será executado diretamente na memória, sem ser salvo no disco — uma técnica conhecida como fileless, que dificulta a detecção.
RokRAT usa serviços na nuvem para se esconder
A etapa final do ataque envolve o RokRAT, um trojan de acesso remoto associado ao grupo. Nesta campanha, ele utiliza a infraestrutura do Zoho WorkDrive como canal de comunicação.
O uso de serviços legítimos de nuvem torna o tráfego malicioso mais difícil de identificar, já que se mistura com atividades corporativas comuns.
Uma vez ativo, o malware é capaz de:
- Capturar imagens da tela
- Executar comandos remotamente
- Coletar informações do sistema
- Roubar documentos e arquivos de áudio
Antes de enviar os dados, tudo é criptografado para evitar interceptação.
Estratégia foca em evasão e persistência
Para evitar detecção, o RokRAT utiliza diversas técnicas, como simular tráfego de navegadores comuns e verificar a presença de antivírus específicos no sistema.
A análise também apontou semelhanças com versões anteriores do malware, reforçando a ligação com o grupo APT37, que já utilizou serviços como Dropbox e outras plataformas de nuvem em campanhas passadas.
O caso mostra como ataques modernos combinam engenharia social com técnicas avançadas para contornar defesas e manter acesso contínuo aos sistemas comprometidos.
