Malware RokRAT
Severokorejská kybernetická skupina APT37 (známá také jako ScarCruft) byla spojena se sofistikovanou, vícestupňovou kybernetickou kampaní využívající sociální inženýrství prostřednictvím Facebooku. Útočníci navazují kontakt zasláním žádostí o přátelství, postupně si budují důvěru a poté interakci promění v kanál pro doručování malwaru. Tato promyšlená manipulace nakonec umožňuje nasazení trojského koně RokRAT pro vzdálený přístup.
Obsah
Zbraň volby: Evoluce RokRATu
RokRAT zůstává primárním malwarem používaným skupinou a v průběhu času se výrazně vyvinul, včetně adaptací pro platformy jako macOS a Android. Jeho neustálý vývoj je důkazem trvalých provozních investic.
Malware je schopen provádět široké spektrum škodlivých aktivit, včetně:
- Sběr přihlašovacích údajů a únik citlivých dat
- Pořizování snímků obrazovky a průzkum systému
- Spouštění příkazů a shellcode
- Manipulace se soubory a adresáři
Aby zamaskoval své operace, ukládal starší varianty ukradená data do formátu MP3. RokRAT navíc maskuje svou komunikaci v rámci systému velení a řízení (C2) směrováním dat přes legitimní cloudové platformy, jako jsou Dropbox, Microsoft OneDrive, pCloud a Yandex Cloud.
Důvěra jako vektor útoku: Manipulace na sociálních sítích
Kampaň začíná vytvářením podvodných facebookových person, údajně sídlících v Pchjongjangu a Pchjongsongu. Tyto účty se používají k identifikaci a posouzení potenciálních obětí. Jakmile je navázáno spojení, konverzace se přesouvají do Messengeru, kde se zavádějí pečlivě vybraná témata s cílem prohloubit důvěru a zapojení.
Důležitou používanou taktikou je podávání záminky, přesvědčování cílů k instalaci specializovaného prohlížeče PDF pod falešným předpokladem, že je nezbytný pro přístup k šifrovaným vojenským dokumentům. Poskytovaná aplikace je upravená verze Wondershare PDFelement s vloženým škodlivým shellcode. Po spuštění tento instalační program zahájí kompromitaci tím, že útočníkům poskytne počáteční přístup k systému.
Vrstvený podvod: Pokročilé techniky doručování a úhybných manévrů
Řetězec útoku vykazuje vysoký stupeň sofistikovanosti díky kombinaci několika strategií úniku:
- Použití legitimního softwaru s trojskými koni k obcházení podezření
- Zneužívání kompromitované, ale důvěryhodné webové infrastruktury pro operace C2
- Maskování škodlivých dat jako neškodných souborů, jako jsou obrázky JPG
Je pozoruhodné, že útočníci využili napadený web propojený se soulskou pobočkou japonské realitní kanceláře k distribuci příkazů a dat. Datová část druhé fáze se jeví jako neškodný obrazový soubor, který skrývá finální nasazení RokRAT.
Vícestupňová realizace: Od sociálního kontaktu k úplnému kompromisu
Útočná sekvence probíhá několika koordinovanými fázemi. Útočníci si 10. listopadu 2025 vytvořili facebookové účty s názvy „richardmichael0828“ a „johnsonsophia0414“. Po navázání kontaktu je komunikace přesměrována na Telegram, kde oběti obdrží ZIP archiv obsahující škodlivý prohlížeč PDF souborů, návnadové dokumenty a pokyny k instalaci.
Spuštění napadeného instalačního programu spustí zašifrovaný shellcode, který se připojí k doméně C2 a načte sekundární datovou část maskovanou jako soubor s obrázkem JPG. Tento soubor nakonec doručí kompletní malware RokRAT.
Cloudové velení a řízení: Prolínání s legitimním provozem
RokRAT dále zvyšuje svou nenápadnost zneužíváním Zoho WorkDrive jako součásti své C2 infrastruktury, což je metoda pozorovaná také v kampani „Ruby Jumper“ identifikované na začátku roku 2026. Prostřednictvím tohoto přístupu malware provádí funkce, jako je pořizování snímků obrazovky, vzdálené provádění příkazů prostřednictvím systémových shells, sběr dat hostitele a obcházení zabezpečení.
Strategické zaměření: Stabilita fungování, inovace v dodávkách
Zatímco základní schopnosti RokRATu zůstaly napříč operacemi do značné míry konzistentní, jeho mechanismy doručování a taktiky obcházení se neustále vyvíjejí. Tento strategický důraz ukazuje na záměrné zaměření na vylepšení vektorů infekce a technik stealth spíše než na změnu základní funkčnosti malwaru.
