برنامج RokRAT الخبيث
ارتبطت مجموعة التهديد الكورية الشمالية APT37 (المعروفة أيضًا باسم ScarCruft) بحملة إلكترونية متطورة ومتعددة المراحل، تستغل الهندسة الاجتماعية عبر فيسبوك. يبدأ المهاجمون بالتواصل عن طريق إرسال طلبات صداقة، ويبنون الثقة تدريجيًا قبل تحويل التفاعل إلى قناة لنشر البرمجيات الخبيثة. هذا التلاعب المدروس يُمكّن في النهاية من نشر حصان طروادة RokRAT الذي يسمح بالوصول عن بُعد.
جدول المحتويات
السلاح المفضل: تطور روكرات
لا يزال برنامج RokRAT الخبيث هو البرنامج الرئيسي الذي تستخدمه المجموعة، وقد تطور بشكل ملحوظ بمرور الوقت، مع وجود تعديلات لمنصات مثل macOS وAndroid. ويؤكد استمرار تطويره على الاستثمار التشغيلي المتواصل.
البرنامج الخبيث قادر على تنفيذ مجموعة واسعة من الأنشطة الضارة، بما في ذلك:
- جمع بيانات الاعتماد وتسريب البيانات الحساسة
- التقاط لقطات الشاشة واستطلاع النظام
- تنفيذ الأوامر وشفرات البرامج الخبيثة
- معالجة الملفات والمجلدات
ولإخفاء عملياتها، خزّنت الإصدارات السابقة من برنامج RokRAT البيانات المسروقة بصيغة ملفات MP3. إضافةً إلى ذلك، يُخفي البرنامج اتصالات القيادة والتحكم (C2) الخاصة به عن طريق توجيه البيانات عبر منصات سحابية شرعية مثل Dropbox وMicrosoft OneDrive وpCloud وYandex Cloud.
الثقة كأداة للهجوم: التلاعب عبر وسائل التواصل الاجتماعي
تبدأ الحملة بإنشاء حسابات وهمية على فيسبوك، يُزعم أنها تتخذ من بيونغ يانغ وبيونغسونغ مقراً لها. تُستخدم هذه الحسابات لتحديد وتقييم الضحايا المحتملين. وبمجرد التواصل، تنتقل المحادثات إلى ماسنجر، حيث تُطرح مواضيع مختارة بعناية لتعزيز الثقة والتفاعل.
تتمثل إحدى التكتيكات الرئيسية المستخدمة في التظاهر، حيث يتم إقناع الأهداف بتثبيت برنامج متخصص لعرض ملفات PDF بحجة زائفة مفادها أنه ضروري للوصول إلى وثائق عسكرية مشفرة. التطبيق المُقدّم هو نسخة مُعدّلة من برنامج Wondershare PDFelement، مُدمجة بشفرة خبيثة. عند تشغيله، يبدأ هذا المُثبّت عملية الاختراق بمنح المهاجمين إمكانية الوصول الأولي إلى النظام.
الخداع متعدد الطبقات: تقنيات متقدمة للتوصيل والتهرب
تُظهر سلسلة الهجوم درجة عالية من التعقيد من خلال الجمع بين استراتيجيات مراوغة متعددة:
- استخدام برامج شرعية مُخترقة لتجنب الشبهات
والجدير بالذكر أن المهاجمين استغلوا موقعًا إلكترونيًا مخترقًا مرتبطًا بفرع شركة عقارية يابانية في سيول لتوزيع الأوامر والبرمجيات الخبيثة. وتظهر المرحلة الثانية من البرمجيات الخبيثة على شكل ملف صورة عادي، لإخفاء عملية نشر برنامج RokRAT الخبيث في المرحلة النهائية.
التنفيذ متعدد المراحل: من التواصل الاجتماعي إلى التسوية الكاملة
تتطور سلسلة الهجوم عبر عدة مراحل منسقة. أنشأ المهاجمون حسابات على فيسبوك باسمي "richardmichael0828" و"johnsonsophia0414" في 10 نوفمبر 2025. بعد بناء علاقة ودية، يتم تحويل التواصل إلى تطبيق تيليجرام، حيث يتلقى الضحايا ملفًا مضغوطًا يحتوي على برنامج عرض ملفات PDF خبيث، ووثائق وهمية، وتعليمات التثبيت.
يؤدي تشغيل برنامج التثبيت المخترق إلى تفعيل شيفرة مشفرة تتصل بنطاق تحكم وسيطرة، وتسترجع حمولة ثانوية مُتنكرة في صورة ملف JPG. ويقوم هذا الملف في النهاية بتحميل برمجية RokRAT الخبيثة بالكامل.
القيادة والتحكم عبر السحابة: الاندماج في حركة المرور المشروعة
يعزز برنامج RokRAT قدرته على التخفي من خلال استغلال Zoho WorkDrive كجزء من بنيته التحتية للتحكم والسيطرة، وهي طريقة لوحظت أيضًا في حملة "Ruby Jumper" التي تم تحديدها في أوائل عام 2026. ومن خلال هذا النهج، يقوم البرنامج الخبيث بوظائف مثل التقاط لقطات الشاشة، وتنفيذ الأوامر عن بعد عبر واجهات النظام، وجمع بيانات المضيف، والتهرب الأمني.
التركيز الاستراتيجي: الاستقرار في الأداء، والابتكار في التنفيذ
على الرغم من أن القدرات الأساسية لبرنامج RokRAT ظلت ثابتة إلى حد كبير عبر العمليات، إلا أن آليات انتشاره وتكتيكات التخفي الخاصة به لا تزال تتطور. ويُظهر هذا التركيز الاستراتيجي اهتمامًا متعمدًا بتحسين طرق الإصابة وتقنيات التخفي بدلاً من تغيير الوظائف الأساسية للبرنامج الخبيث.
