Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Portes del darrere Programari maliciós RokRAT

Programari maliciós RokRAT

El Mezo el Portes del darrere, Amenaça persistent avançada (APT)
Traduir a:

El grup d'amenaces nord-coreà APT37 (també conegut com a ScarCruft) ha estat vinculat a una sofisticada campanya cibernètica de diverses etapes que aprofita l'enginyeria social a través de Facebook. Els atacants inicien el contacte enviant sol·licituds d'amistat, generant gradualment confiança abans de transformar la interacció en un canal de distribució de programari maliciós. Aquesta manipulació calculada permet finalment el desplegament del troià d'accés remot RokRAT.

Arma preferida: l’evolució de RokRAT

RokRAT continua sent el principal programari maliciós utilitzat pel grup i ha evolucionat significativament al llarg del temps, amb adaptacions per a plataformes com macOS i Android. El seu desenvolupament continu destaca una inversió operativa sostinguda.

El programari maliciós és capaç d'executar un ampli espectre d'activitats malicioses, incloent-hi:

  • Recollida de credencials i exfiltració de dades sensibles
  • Captura de pantalla i reconeixement del sistema
  • Execució d'ordres i shellcode
  • Manipulació de fitxers i directoris

Per ocultar les seves operacions, les variants anteriors emmagatzemaven dades robades en formats de fitxer MP3. A més, RokRAT disfressa les seves comunicacions de comandament i control (C2) encaminant les dades a través de plataformes de núvol legítimes com ara Dropbox, Microsoft OneDrive, pCloud i Yandex Cloud.

La confiança com a vector d’atac: la manipulació de les xarxes socials

La campanya comença amb la creació de perfils fraudulents de Facebook, suposadament amb seu a Pyongyang i Pyongsong. Aquests comptes s'utilitzen per identificar i avaluar possibles víctimes. Un cop establerta la connexió, les converses es traslladen a Messenger, on s'introdueixen temes acuradament seleccionats per aprofundir en la confiança i la participació.

Una tàctica crítica emprada és pretextar, convèncer els objectius perquè instal·lin un visor de PDF especialitzat sota la premissa falsa que és necessari per accedir a documents militars xifrats. L'aplicació proporcionada és una versió modificada de Wondershare PDFelement, integrada amb codi shell maliciós. En executar-se, aquest instal·lador inicia el compromís concedint als atacants accés inicial al sistema.

Engany per capes: tècniques avançades de lliurament i evasió

La cadena d'atac demostra un alt grau de sofisticació mitjançant la combinació de múltiples estratègies d'evasió:

  • Ús de programari legítim troià per evitar sospites
  • Explotació d'infraestructures web compromeses però fiables per a operacions de C2
  • Disfressar càrregues útils malicioses com a fitxers benignes, com ara imatges JPG

Cal destacar que els atacants van aprofitar un lloc web compromès vinculat a la sucursal de Seül d'un servei immobiliari japonès per distribuir ordres i càrregues útils. La càrrega útil de la segona etapa apareix com un fitxer d'imatge inofensiu, que oculta el desplegament final de RokRAT.

Execució en diverses etapes: del contacte social al compromís total

La seqüència d'atac progressa a través de diverses etapes coordinades. Els actors amenaçadors van crear comptes de Facebook anomenats "richardmichael0828" i "johnsonsophia0414" el 10 de novembre de 2025. Després d'establir una bona relació, la comunicació es redirigeix a Telegram, on les víctimes reben un arxiu ZIP que conté el visor de PDF maliciós, documents esquer i instruccions d'instal·lació.

L'execució de l'instal·lador compromès activa un shellcode xifrat, que es connecta a un domini C2 i recupera una càrrega secundària disfressada com un fitxer d'imatge JPG. Aquest fitxer finalment proporciona el programari maliciós RokRAT complet.

Comandament i control basats en el núvol: integració amb el trànsit legítim

RokRAT millora encara més la seva furtivitat abusant de Zoho WorkDrive com a part de la seva infraestructura C2, un mètode també observat a la campanya "Ruby Jumper" identificada a principis del 2026. Mitjançant aquest enfocament, el programari maliciós realitza funcions com ara la captura de captures de pantalla, l'execució remota d'ordres a través de shells de sistema, la recopilació de dades de l'amfitrió i l'evasió de la seguretat.

Enfocament estratègic: Estabilitat en la funció, innovació en l’execució

Tot i que les capacitats bàsiques de RokRAT s'han mantingut en gran mesura consistents en totes les operacions, els seus mecanismes d'aplicació i les tàctiques d'evasió continuen evolucionant. Aquest èmfasi estratègic demostra un enfocament deliberat en la millora dels vectors d'infecció i les tècniques furtives en lloc d'alterar la funcionalitat fonamental del programari maliciós.

Articles Relacionats

Tendència

Estafa de correu electrònic amb verificació de...

Phishing, Correu brossa
Ser prudent a l'hora de gestionar correus electrònics inesperats és essencial per mantenir la seguretat en línia. Els ciberdelinqüents sovint disfressen els missatges maliciosos de comunicacions legítimes per explotar la confiança i la urgència. L'anomenada estafa de correu electrònic "Verificació de seguretat requerida" és un exemple perfecte d'aquesta tàctica. Aquests correus electrònics no...

Més vist

Carregant...