O grupo norte-coreano APT37, também rastreado como ScarCruft, foi atribuído a uma campanha de espionagem cibernética. O ataque começa no Facebook e termina com a instalação silenciosa do RokRAT, um trojan de acesso remoto focado em coleta de informações.
A análise da Genians Security Center (GSC), empresa sul-coreana de cibersegurança, mostrou que os operadores criaram duas contas no Facebook — “richardmichael0828” e “johnsonsophia0414” — com localização definida como Pyongyang e Pyongsong, na Coreia do Norte.
Ambas foram criadas no mesmo dia, 10 de novembro de 2025, o que sugere operação coordenada por um único ator ou organização.
Pedido de amizade vira vetor de ataque
A tática segue um roteiro de engenharia social em várias etapas. Primeiro, as vítimas recebem pedidos de amizade. Depois de estabelecida uma relação de confiança via Messenger, a conversa migra para o Telegram, onde é entregue um arquivo ZIP chamado “m.zip”.
O pacote contém um executável malicioso disfarçado de leitor de PDF, quatro documentos PDF com títulos militares como isca e um arquivo de instruções em texto.
Os criminosos alegam que os documentos supostamente contém materiais confidenciais sobre armamentos militares. Para fazer a vítima executar o arquivo, eles justificam que os arquivos estão criptografados e exigem um visualizador dedicado para serem abertos. Essa técnica se chama pretexting, em que o atacante cria um cenário falso para induzir a vítima a executar um programa malicioso.
Instalador adulterado, shellcode embutido
O executável entregue é uma versão adulterada do Wondershare PDFelement, um leitor de PDF legítimo distribuído pela Wondershare. O arquivo original possui assinatura digital válida. A versão maliciosa, renomeada como “Wondershare_PDFelement_Installer(PDF_Security).exe”, não tem assinatura.
Os criminosos mantiveram a função principal do instalador e alteraram apenas o entry point. Isso redireciona a execução para um shellcode de cerca de 2 KB inserido em uma região não utilizada da seção de código. Isso é conhecido como code cave injection ou PE patching.
Quando o programa é executado, o shellcode roda primeiro. Ele cria o processo legítimo do Windows “dism.exe” em estado suspenso, injeta nele um payload descriptografado via XOR e só então retorna o fluxo de execução ao instalador original. Para o usuário, a instalação parece normal. Em segundo plano, o sistema já foi comprometido.
C2 disfarçado de imagem JPG
A URL de comando e controle (C2) embutida no shellcode aponta para “japanroom[.]com”, o site da filial em Seul de um serviço japonês de informações imobiliárias. O domínio legítimo foi comprometido e usado como infraestrutura de ataque.
A requisição ao servidor busca um arquivo chamado “1288247428101.jpg” — isso porque a extensão “.jpg” é usada para disfarçar o tráfego malicioso como uma requisição de imagem comum, contornando filtros de URL e monitoramento de rede. O conteúdo real é um payload de segundo estágio criptografado com XOR, executado diretamente na memória sem ser gravado em disco. Essa é uma técnica fileless, que dificulta a detecção por soluções baseadas em análise de arquivos.
RokRAT via Zoho WorkDrive
O payload final é o RokRAT, backdoor consolidado do APT37. Nesta campanha, ele abusa da API OAuth2 do Zoho WorkDrive, plataforma online de armazenamento, gestão e colaboração de arquivos voltada para equipes, como canal de C2. Isso porque o tráfego para serviços de nuvem legítimos é difícil de distinguir de atividade corporativa normal.
As credenciais OAuth2 estão hardcoded no binário. O malware captura screenshots da área de trabalho, executa comandos remotos via “cmd.exe”, coleta nome do computador, versão do Windows, endereço IP público e geolocalização, e exfiltra documentos com extensões como “.DOC”, “.XLS”, “.PDF”, “.HWP” e arquivos de áudio “.M4A” e “.AMR”. Os dados são criptografados com AES-256-CBC antes do envio.
Para evasão, o RokRAT verifica a presença do “360Tray.exe”, componente do antivírus Qihoo 360, e usa 21 strings de User-Agent diferentes para disfarçar o tráfego de rede como atividade normal de navegador.
A GSC identificou alta similaridade de código com uma variante do RokRAT rastreada em dezembro de 2025, reforçando a atribuição ao APT37. O grupo já havia abusado de Dropbox, pCloud e Yandex Cloud em campanhas anteriores — a adoção do Zoho WorkDrive segue a mesma lógica de usar infraestrutura legítima para esconder comunicações maliciosas.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de tecnologia e segurança, inscreva-se em nosso canal do YouTube e nossa newsletter.