Campanha atribuída ao grupo norte-coreano combina perfis falsos, instalador de PDF adulterado, infraestrutura legítima comprometida e abuso do Zoho WorkDrive para controle remoto.
| Componente | Campanha atribuída ao APT37, também rastreado como ScarCruft, com entrega do trojan de acesso remoto RokRAT por meio de um visualizador de PDF adulterado baseado no Wondershare PDFelement. |
| Vetor | Contato inicial por contas no Facebook, migração da conversa para Messenger e Telegram, envio de arquivo ZIP e pretexto de documentos militares criptografados que exigiriam um visualizador dedicado. |
| Impacto | Execução de shellcode embutido, comunicação com C2, carregamento de estágio adicional disfarçado como JPG e instalação do RokRAT com captura de tela, reconhecimento do sistema, coleta de informações do host e execução remota via comando operacional omitido. |
| Prioridade | Revisar interações sociais usadas para entrega de arquivos, bloquear execução de instaladores não aprovados, procurar tráfego para japanroom[.]com e investigar abuso anômalo do Zoho WorkDrive em endpoints suspeitos. |
| Artefatos | Contas richardmichael0828 e johnsonsophia0414, criadas em 10 de novembro de 2025; arquivo de segundo estágio 1288247428101.jpg; domínio C2 defangado japanroom[.]com. |
| Infraestrutura | A cadeia usa infraestrutura legítima comprometida associada ao braço de Seul de um serviço japonês de informações imobiliárias e, depois, o Zoho WorkDrive como canal de comando e controle do RokRAT. |
Uma campanha atribuída ao APT37, grupo norte-coreano também conhecido como ScarCruft, usa engenharia social em plataformas sociais para distribuir o RokRAT, um trojan de acesso remoto mantido em operações sucessivas. A atividade começa com perfis no Facebook configurados com localizações em Pyongyang e Pyongsong, usados para identificar, abordar e filtrar alvos antes da entrega do arquivo malicioso. O operador adiciona a vítima como contato, constrói confiança por conversa e desloca a interação para canais de mensagens, incluindo Messenger e Telegram. Esse encadeamento transforma uma relação aparentemente pessoal em canal de entrega, reduzindo a dependência de anexos enviados por e-mail e dificultando a detecção por controles que monitoram apenas gateways tradicionais.
O elemento central da intrusão é um pretexto ligado a documentos militares criptografados. A vítima é levada a instalar um visualizador de PDF supostamente necessário para abrir o material, mas o instalador distribuído é uma versão adulterada do Wondershare PDFelement. Quando executado, o aplicativo modificado aciona shellcode embutido e estabelece o primeiro ponto de apoio no sistema. A cadeia não depende apenas de um binário suspeito isolado: ela combina adulteração de software legítimo, abuso de site legítimo comprometido, disfarce de extensão de arquivo e uso posterior de serviço em nuvem legítimo para comando e controle. Essa composição aumenta a chance de o tráfego parecer rotineiro e obriga a defesa a correlacionar identidade, endpoint, rede e comportamento de processo.
A sequência observada começa com duas contas no Facebook, richardmichael0828 e johnsonsophia0414, ambas criadas em 10 de novembro de 2025. Depois da fase de aproximação, o operador move a conversa para aplicativos de mensagem e entrega um arquivo ZIP. O pacote contém a versão trojanizada do Wondershare PDFelement, quatro documentos PDF e um arquivo de texto com instruções para instalar o programa antes de abrir os PDFs. O uso de documentos reais ou aparentemente relevantes no mesmo pacote dá coerência ao pretexto e torna a instalação do visualizador uma etapa plausível para a vítima. Para a defesa, esse ponto é importante porque o evento inicial não precisa apresentar um exploit de documento; a execução começa quando o usuário aceita instalar o software adulterado.
Após a abertura do instalador modificado, shellcode criptografado é executado e inicia comunicação com o servidor C2 japanroom[.]com. O domínio aparece associado a infraestrutura legítima comprometida, o que indica que a campanha se apoia em reputação pré-existente para emitir comandos e entregar cargas. O próximo estágio é recebido como um arquivo JPG chamado 1288247428101.jpg, usado para carregar a carga final do RokRAT. O disfarce como imagem não deve ser tratado apenas como detalhe cosmético: ele altera expectativas de inspeção, pode confundir revisões manuais apressadas e reforça a necessidade de validação por conteúdo, comportamento e cadeia de execução, não apenas por nome ou extensão de arquivo.
Com o RokRAT em operação, a campanha passa a usar o Zoho WorkDrive como canal de comando e controle. Esse abuso de serviço legítimo permite mascarar parte do tráfego malicioso dentro de comunicações que podem ser permitidas em ambientes corporativos. As capacidades descritas incluem captura de screenshots, execução remota por meio de comando operacional omitido, coleta de informações do host, reconhecimento do sistema e tentativa de evasão contra produtos de segurança como o 360 Total Security da Qihoo. A funcionalidade principal do RokRAT é descrita como relativamente estável ao longo do tempo; a evolução aparece com mais força na entrega, na execução e na evasão, não em uma reformulação completa das capacidades do malware.
A superfície exposta concentra-se em usuários que interagem com contatos desconhecidos em redes sociais e aceitam arquivos enviados fora de canais corporativos controlados. O risco é maior quando a organização permite instalação local de aplicativos sem aprovação, quando arquivos ZIP recebidos por mensageria não passam por inspeção de conteúdo e quando serviços de armazenamento em nuvem são liberados sem telemetria suficiente. A cadeia também mostra que a exposição não está limitada ao Facebook: a plataforma inicial é usada para relacionamento e seleção do alvo, enquanto Messenger e Telegram aparecem como canais de continuidade e entrega. Bloquear apenas um ponto do fluxo não elimina a possibilidade de adaptação do operador.
Sistemas Windows são particularmente relevantes na fase de impacto descrita porque a carga final executa comandos por comando operacional omitido e coleta informações do host. A presença de um instalador aparentemente legítimo baseado no Wondershare PDFelement cria uma zona cinzenta para inventário de software: o nome do produto pode parecer aceitável, mas o binário, o local de execução, a origem do arquivo e a árvore de processos devem ser verificados. Ambientes que autorizam Zoho WorkDrive para uso legítimo precisam diferenciar acesso esperado de padrões associados a beaconing, upload ou download incomum, principalmente quando o tráfego ocorre logo após a execução de um instalador obtido por mensageria.
- Usuários abordados por perfis sociais recém-criados ou sem relação profissional verificável, especialmente quando a conversa evolui para envio de arquivos compactados.
- Endpoints que executaram instalador de PDF fora de repositório corporativo, portal de software aprovado ou processo normal de distribuição.
- Ambientes que permitem tráfego para serviços de nuvem legítimos sem inspeção comportamental, incluindo uso anômalo do Zoho WorkDrive por processos recém-criados.
- Sistemas com logs insuficientes de criação de processo, árvore de execução, origem do arquivo, marcação de zona da internet e conexões de rede por processo.
A investigação deve começar pela correlação entre origem social do arquivo, criação de processo e comunicação externa. Em endpoint, procure execução de instaladores relacionados a visualizadores de PDF a partir de diretórios de usuário, pastas temporárias, áreas de download ou conteúdo extraído de ZIP. A árvore de processos é mais útil do que o nome do aplicativo isolado: um visualizador de PDF que inicia código não documentado, cria processos de shell, tenta acessar rede logo após a instalação ou carrega conteúdo com extensão de imagem como estágio deve ser tratado como sinal de comprometimento. Também é relevante revisar eventos de execução de comando operacional omitido disparados por processos sem histórico administrativo legítimo.
Na rede, o domínio C2 japanroom[.]com deve ser procurado em logs DNS, proxy, EDR e firewall, mantendo o indicador defangado em relatórios e tickets para evitar acesso acidental. A presença de arquivo com nome 1288247428101.jpg não confirma sozinha a intrusão, mas se torna forte quando aparece junto de execução recente do instalador adulterado, conexões ao domínio C2 ou uso incomum do Zoho WorkDrive. Em ambientes onde Zoho WorkDrive é usado de forma legítima, a busca deve priorizar anomalias por processo, volume, frequência, horário, host sem histórico de uso e sequência temporal após interação social ou extração de arquivo ZIP.
A telemetria de identidade também ajuda a reduzir incerteza. Conversas com perfis richardmichael0828 e johnsonsophia0414 foram citadas na campanha, mas a defesa não deve depender apenas desses nomes, pois perfis de entrega podem ser descartáveis. O padrão mais robusto é a combinação de amizade recente, migração para mensageria, tema sensível usado como isca, recebimento de arquivo compactado e instrução para instalar software auxiliar. Em resposta a incidentes, preservar o pacote ZIP, metadados de download, histórico de mensagens permitido pela política interna e artefatos de execução fornece uma linha do tempo mais confiável do que análise isolada do binário final.
- Execução de instalador de PDF extraído de ZIP recebido por mensageria, seguida de comunicação externa incomum.
- Consulta DNS ou conexão HTTP/HTTPS para
japanroom[.]com, especialmente a partir de host que também executou software de PDF recém-obtido. - Arquivo
1288247428101.jpgaparecendo como estágio de carga, cache, download ou artefato temporário em endpoint suspeito. - Uso do Zoho WorkDrive por processo sem relação com navegador ou cliente corporativo esperado, principalmente após execução de instalador desconhecido.
- Criação de
comando operacional omitidopor processo associado ao visualizador de PDF ou por binário instalado fora do fluxo normal de administração.
A resposta deve priorizar contenção de endpoints que executaram o instalador adulterado ou que apresentem comunicação com a infraestrutura citada. O isolamento deve preservar evidências de disco, memória, logs de criação de processo, conexões de rede e histórico de arquivos extraídos, pois a cadeia inclui múltiplos estágios e parte do contexto pode estar em artefatos temporários. A remoção simples do aplicativo suspeito não é suficiente sem verificar se o RokRAT foi carregado, se houve execução via comando operacional omitido, se ocorreram capturas de tela e se o host realizou reconhecimento local. Como o impacto confirmado envolve controle remoto e coleta de informações do sistema, a validação precisa cobrir tanto persistência quanto atividade interativa ou automatizada.
No controle preventivo, a organização deve restringir instalação de software por usuários comuns, exigir origem aprovada para visualizadores de documentos e inspecionar arquivos compactados recebidos por canais de mensagem quando forem trazidos para ambientes corporativos. Controles de aplicação podem bloquear execução de instaladores em diretórios de usuário e reduzir a superfície usada pelo pretexto. Para serviços de nuvem legítimos, a mitigação não deve ser apenas bloqueio amplo, pois isso pode afetar negócios; a alternativa mais precisa é monitorar uso por processo, impor políticas de acesso, revisar integrações permitidas e gerar alertas quando um endpoint sem histórico passa a usar o serviço logo após a execução de binário não aprovado.
A conscientização deve ser específica para o fluxo observado, não genérica. Usuários com acesso a temas militares, governamentais, pesquisa sensível ou informação estratégica devem ser orientados a tratar pedidos de instalação de visualizador dedicado como evento de risco, especialmente quando o pedido vem de contato recém-adicionado e migra entre plataformas. A equipe de segurança deve oferecer um canal claro para submissão de arquivos suspeitos e análise de conversas, preservando evidências sem expor dados pessoais além do necessário. Essa abordagem aumenta a chance de detecção antes da execução, que é o ponto em que o shellcode embutido passa a conectar a cadeia técnica ao controle remoto.
- Isolar hosts com execução suspeita do visualizador de PDF adulterado e coletar artefatos antes de remover arquivos ou reiniciar sistemas.
- Bloquear ou alertar conexões para
japanroom[.]come revisar logs históricos para identificar hosts que tenham se comunicado com o domínio. - Criar detecções para visualizadores de PDF iniciando
comando operacional omitido, carregando conteúdo com extensão de imagem como estágio ou estabelecendo conexões externas logo após instalação. - Restringir instalação de aplicativos fora de catálogo aprovado e aplicar controle de execução em diretórios de usuário, downloads e pastas temporárias.
- Monitorar uso anômalo do Zoho WorkDrive por endpoint e por processo, com foco em hosts que não utilizavam o serviço anteriormente.
- Revisar políticas de recebimento de arquivos por mensageria, mantendo inspeção de ZIPs e orientação para reportar pretextos que exigem instalação de software.
0 Comentários