ScarCruft da Coreia do Norte ataca acadêmicos com malware RokRAT

Um novo relatório revela que o ScarCruft, ligado à Coreia do Norte, está usando o malware RokRAT para atingir acadêmicos em uma campanha de phishing. Leia sobre a ameaça de ciberespionagem e as táticas em evolução do grupo.

Pesquisadores de segurança cibernética do Seqrite Labs descobriram uma nova campanha de ataque altamente direcionada, vinculada à Coreia do Norte. O grupo de hackers, conhecido como ScarCruft ou APT37 , está utilizando uma ferramenta maliciosa chamada RokRAT para espionar acadêmicos, pesquisadores e ex-funcionários do governo sul-coreanos.

Esta operação foi chamada de HanKook Phantom – HanKook significa Coreia, enquanto Phantom representa a natureza furtiva e evasiva do ataque.

Os ataques começam com um e-mail falso, uma técnica conhecida como spear-phishing . Trata-se de um tipo de fraude bastante específico, em que os invasores fingem ser uma fonte confiável para enganar uma pessoa específica. Neste caso, os e-mails estavam disfarçados de um boletim informativo de uma sociedade de pesquisa.

Quando a vítima abre o arquivo anexado, que parece um documento PDF inofensivo, um software oculto (RokRAT) é secretamente instalado em seu computador. Uma segunda versão do ataque utilizou como isca uma declaração pública da líder norte-coreana Kim Yo-jong, datada de 28 de julho, rejeitando os esforços de reconciliação de Seul.

Uma vez no computador, o malware pode fazer capturas de tela, roubar arquivos e coletar outras informações privadas. Os hackers então usam serviços de nuvem comuns, como Dropbox e Google Cloud , para enviar os dados roubados de volta para si mesmos.

Esta campanha é apenas um exemplo da persistente ameaça cibernética da Coreia do Norte . Embora seu foco principal seja a Coreia do Sul, o ScarCruft também tem como alvo vários outros países, incluindo os seguintes:

• Índia
• Nepal
• China
• Japão
• Rússia
• Kuwait
• Vietnã
• Romênia

Relatórios anteriores do Hackread.com destacam que o ScarCruft está constantemente evoluindo suas táticas. Em dezembro de 2022, pesquisadores da ESET descobriram que o grupo utilizava um sofisticado backdoor chamado Dolphin para espionar organizações governamentais e de mídia. Isso ocorreu após relatos de agosto de 2021 de que o grupo utilizava um malware diferente, o Konni RAT, contra alvos russos.

Mais recentemente, a empresa sul-coreana S2W relatou que o ScarCruft agora está usando um novo ransomware chamado VCD, além de suas ferramentas tradicionais de espionagem. Essa campanha, realizada por um subgrupo chamado ChinopuNK, usava e-mails com uma atualização falsa de código postal para infectar vítimas com uma variedade de malware, incluindo LightPeek e NubSpy.