بدافزار RokRAT

گروه تهدید کره شمالی APT37 (که با نام ScarCruft نیز شناخته می‌شود) به یک کمپین سایبری پیچیده و چند مرحله‌ای مرتبط شده است که از مهندسی اجتماعی از طریق فیس‌بوک استفاده می‌کند. مهاجمان با ارسال درخواست‌های دوستی، ارتباط را آغاز می‌کنند و به تدریج قبل از تبدیل تعامل به یک کانال توزیع بدافزار، اعتمادسازی می‌کنند. این دستکاری حساب‌شده در نهایت امکان استقرار تروجان دسترسی از راه دور RokRAT را فراهم می‌کند.

سلاح منتخب: تکامل RokRAT

RokRAT همچنان بدافزار اصلی مورد استفاده این گروه است و با گذشت زمان به طور قابل توجهی تکامل یافته و برای پلتفرم‌هایی مانند macOS و اندروید نیز سازگار شده است. توسعه مداوم آن، سرمایه‌گذاری عملیاتی پایدار را برجسته می‌کند.

این بدافزار قادر به اجرای طیف گسترده‌ای از فعالیت‌های مخرب است، از جمله:

• برداشت اعتبارنامه و استخراج داده‌های حساس
• ضبط اسکرین شات و شناسایی سیستم
• اجرای دستورات و shellcode
• دستکاری فایل و دایرکتوری

برای پنهان کردن عملیات خود، انواع قبلی داده‌های سرقت شده را در قالب فایل‌های MP3 ذخیره می‌کردند. علاوه بر این، RokRAT ارتباطات فرماندهی و کنترل (C2) خود را با مسیریابی داده‌ها از طریق پلتفرم‌های ابری قانونی مانند Dropbox، Microsoft OneDrive، pCloud و Yandex Cloud پنهان می‌کند.

اعتماد به عنوان یک مسیر حمله: دستکاری رسانه‌های اجتماعی

این کمپین با ایجاد حساب‌های کاربری جعلی در فیس‌بوک آغاز می‌شود که گفته می‌شود در پیونگ‌یانگ و پیونگ‌سونگ مستقر هستند. این حساب‌ها برای شناسایی و ارزیابی قربانیان بالقوه استفاده می‌شوند. پس از برقراری ارتباط، مکالمات به مسنجر منتقل می‌شوند، جایی که موضوعات با دقت انتخاب شده برای تعمیق اعتماد و تعامل معرفی می‌شوند.

یک تاکتیک مهم به کار گرفته شده، بهانه‌تراشی و متقاعد کردن اهداف برای نصب یک نمایشگر PDF تخصصی با این فرض نادرست است که برای دسترسی به اسناد نظامی رمزگذاری شده لازم است. برنامه ارائه شده یک نسخه اصلاح شده از Wondershare PDFelement است که با shellcode مخرب جاسازی شده است. پس از اجرا، این نصب کننده با اعطای دسترسی اولیه به سیستم به مهاجمان، نفوذ را آغاز می‌کند.

فریب لایه‌ای: تکنیک‌های پیشرفته ارسال و گریز

زنجیره حمله از طریق ترکیب چندین استراتژی گریز، درجه بالایی از پیچیدگی را نشان می‌دهد:

• استفاده از نرم‌افزار قانونی آلوده به تروجان برای دور زدن سوءظن

نکته قابل توجه این است که مهاجمان از یک وب‌سایت آسیب‌دیده مرتبط با شعبه سئول یک شرکت خدمات املاک ژاپنی برای توزیع دستورات و پیلودها استفاده کردند. پیلود مرحله دوم به صورت یک فایل تصویری بی‌خطر ظاهر می‌شود و استقرار نهایی RokRAT را پنهان می‌کند.

اجرای چند مرحله‌ای: از تماس اجتماعی تا سازش کامل

توالی حمله از چندین مرحله هماهنگ عبور می‌کند. عاملان تهدید در ۱۰ نوامبر ۲۰۲۵ حساب‌های فیس‌بوکی با نام‌های «richardmichael0828» و «johnsonsophia0414» ایجاد کردند. پس از برقراری ارتباط، ارتباط به تلگرام هدایت می‌شود، جایی که قربانیان یک بایگانی ZIP حاوی نمایشگر PDF مخرب، اسناد جعلی و دستورالعمل‌های نصب دریافت می‌کنند.

اجرای نصب‌کننده‌ی آسیب‌دیده، shellcode رمزگذاری‌شده را فعال می‌کند که به یک دامنه‌ی C2 متصل شده و یک payload ثانویه را که در قالب یک فایل تصویری JPG پنهان شده است، بازیابی می‌کند. این فایل در نهایت بدافزار کامل RokRAT را ارائه می‌دهد.

فرماندهی و کنترل مبتنی بر ابر: ادغام در ترافیک قانونی

RokRAT با سوءاستفاده از Zoho WorkDrive به عنوان بخشی از زیرساخت C2 خود، مخفی‌کاری خود را افزایش می‌دهد، روشی که در کمپین «Ruby Jumper» که در اوایل سال 2026 شناسایی شد نیز مشاهده شده است. از طریق این رویکرد، این بدافزار عملکردهایی مانند ضبط تصویر از صفحه نمایش، اجرای دستورات از راه دور از طریق پوسته‌های سیستم، جمع‌آوری داده‌های میزبان و فرار از امنیت را انجام می‌دهد.

تمرکز استراتژیک: ثبات در عملکرد، نوآوری در ارائه

در حالی که قابلیت‌های اصلی RokRAT تا حد زیادی در عملیات‌های مختلف ثابت مانده است، مکانیسم‌های انتقال و تاکتیک‌های فرار آن همچنان در حال تکامل هستند. این تأکید استراتژیک، تمرکز عمدی بر بهبود بردارهای آلودگی و تکنیک‌های مخفی‌کاری را به جای تغییر عملکرد بنیادی بدافزار نشان می‌دهد.