O grupo norte-coreano APT37, conhecido como ScarCruft, est\u00e1 vinculado a uma campanha de espionagem digital. A incurs\u00e3o come\u00e7a no Facebook e culmina na instala\u00e7\u00e3o silenciosa do RokRAT, um trojan que fornece acesso remoto e \u00e9 voltado para a coleta de dados.<\/p>\n
Uma an\u00e1lise da Genians Security Center (GSC), empresa sul-coreana de seguran\u00e7a cibern\u00e9tica, revelou que os atacantes criaram duas contas no Facebook \u2014 \u201crichardmichael0828\u201d e \u201cjohnsonsophia0414\u201d \u2014 com a localiza\u00e7\u00e3o definida como Pyongyang e Pyongsong, na Coreia do Norte.<\/p>\n
Ambas as contas foram criadas no mesmo dia, 10 de novembro de 2025, o que sugere que a opera\u00e7\u00e3o foi coordenada por um \u00fanico agente ou equipe.<\/p>\n A estrat\u00e9gia segue um roteiro de engenharia social em v\u00e1rias fases. Inicialmente, as v\u00edtimas recebem solicita\u00e7\u00f5es de amizade. Ap\u00f3s estabelecer um relacionamento de confian\u00e7a via Messenger, a conversa \u00e9 transferida para o Telegram, onde um arquivo ZIP intitulado “m.zip” \u00e9 entregue.<\/p>\n O pacote cont\u00e9m um execut\u00e1vel malicioso disfar\u00e7ado de leitor de PDF, al\u00e9m de quatro documentos PDF com t\u00edtulos militares que funcionam como isca e um arquivo de instru\u00e7\u00f5es em texto.<\/p>\n Os criminosos alegam que os documentos cont\u00eam materiais confidenciais sobre armamentos militares. Para convencer a v\u00edtima a executar o arquivo, afirmam que os arquivos est\u00e3o criptografados, necessitando de um visualizador espec\u00edfico para serem abertos. Essa t\u00e9cnica, chamada pretexting, cria um cen\u00e1rio falso para induzir a v\u00edtima a executar um programa malicioso.<\/p>\n O execut\u00e1vel enviado \u00e9 uma vers\u00e3o manipulada do Wondershare PDFelement, um leitor de PDF leg\u00edtimo. O arquivo original possui uma assinatura digital v\u00e1lida, enquanto a vers\u00e3o maliciosa, renomeada como “Wondershare_PDFelement_Installer(PDF_Security).exe”, n\u00e3o possui assinatura.<\/p>\n Os atacantes mantiveram a fun\u00e7\u00e3o principal do instalador e alteraram apenas o ponto de entrada. Isso redireciona a execu\u00e7\u00e3o para um c\u00f3digo malicioso de cerca de 2 KB, inserido em uma se\u00e7\u00e3o n\u00e3o utilizada do c\u00f3digo. Essa t\u00e9cnica \u00e9 conhecida como code cave injection ou PE patching.<\/p>\n A URL de comando e controle (C2) embutida no c\u00f3digo malicioso aponta para “japanroom[.]com”, um site vinculado a um servi\u00e7o imobili\u00e1rio japon\u00eas em Seul. O dom\u00ednio leg\u00edtimo foi comprometido e utilizado como infraestrutura de ataque.<\/p>\n A requisi\u00e7\u00e3o ao servidor busca um arquivo intitulado “1288247428101.jpg” \u2014 a extens\u00e3o “.jpg” \u00e9 utilizada para disfar\u00e7ar o tr\u00e1fego malicioso como uma requisi\u00e7\u00e3o de imagem comum, contornando filtros de URL e monitoramento de rede. O conte\u00fado verdadeiro \u00e9 um payload de segundo est\u00e1gio criptografado com XOR, executado diretamente na mem\u00f3ria sem ser gravado em disco, uma t\u00e9cnica fileless que dificulta a detec\u00e7\u00e3o por solu\u00e7\u00f5es baseadas em an\u00e1lise de arquivos.<\/p>\n O payload final \u00e9 o RokRAT, um backdoor consolidado do APT37. Na mesma campanha, ele utiliza a API OAuth2 do Zoho WorkDrive, uma plataforma de armazenamento e colabora\u00e7\u00e3o online, como canal de C2. O tr\u00e1fego para servi\u00e7os em nuvem leg\u00edtimos \u00e9 dif\u00edcil de distinguir da atividade corporativa normal.<\/p>\n As credenciais OAuth2 est\u00e3o codificadas no bin\u00e1rio. O malware captura screenshots da \u00e1rea de trabalho, executa comandos remotos via “cmd.exe”, coleta informa\u00e7\u00f5es como nome do computador, vers\u00e3o do Windows, endere\u00e7o IP p\u00fablico e geolocaliza\u00e7\u00e3o, al\u00e9m de exfiltrar documentos com extens\u00f5es como “.DOC”, “.XLS”, “.PDF”, “.HWP” e arquivos de \u00e1udio “.M4A” e “.AMR”. Todos os dados s\u00e3o criptografados com AES-256-CBC antes de serem enviados.<\/p>\n Para evas\u00e3o, o RokRAT verifica a exist\u00eancia do “360Tray.exe”, um componente do antiv\u00edrus Qihoo 360, e utiliza 21 strings diferentes de User-Agent para camuflar o tr\u00e1fego de rede como atividade normal de navegador.<\/p>\n A GSC identificou uma alta similaridade de c\u00f3digo com uma variante do RokRAT rastreada em dezembro de 2025, o que refor\u00e7a a atribui\u00e7\u00e3o ao APT37. O grupo j\u00e1 havia utilizado Dropbox, pCloud e Yandex Cloud em campanhas anteriores \u2014 a escolha do Zoho WorkDrive segue a mesma l\u00f3gica de empregar infraestrutura leg\u00edtima para ocultar comunica\u00e7\u00f5es maliciosas.<\/p>\n Acompanhe o TecMania nas redes sociais. Para mais novidades de tecnologia e seguran\u00e7a, inscreva-se em nosso canal do YouTube e nossa newsletter.<\/p>\n Grupo norte-coreano estabeleceu confian\u00e7a atrav\u00e9s do Messenger, transferiu a conversa para o Telegram e enviou um instalador manipulado do Wondershare […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[12],"tags":[],"class_list":["post-904","post","type-post","status-publish","format-standard","hentry","category-seguranca"],"_links":{"self":[{"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/posts\/904","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/comments?post=904"}],"version-history":[{"count":0,"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/posts\/904\/revisions"}],"wp:attachment":[{"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/media?parent=904"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/categories?post=904"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/tags?post=904"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Pedido de amizade se torna vetor de ataque<\/h2>\n
Instalador manipulado, c\u00f3digo malicioso embutido<\/h2>\n
URL disfar\u00e7ada de imagem JPG<\/h2>\n
RokRAT via Zoho WorkDrive<\/h2>\n