RokRAT मैलवेयर

उत्तर कोरियाई साइबर गिरोह APT37 (जिसे ScarCruft के नाम से भी जाना जाता है) फेसबुक के माध्यम से सोशल इंजीनियरिंग का इस्तेमाल करते हुए एक जटिल, बहु-स्तरीय साइबर अभियान से जुड़ा हुआ है। हमलावर फ्रेंड रिक्वेस्ट भेजकर संपर्क शुरू करते हैं, धीरे-धीरे विश्वास कायम करते हैं और फिर बातचीत को मैलवेयर पहुंचाने के चैनल में बदल देते हैं। यह सुनियोजित हेरफेर अंततः रिमोट एक्सेस ट्रोजन RokRAT को फैलाने में सक्षम बनाता है।

पसंदीदा हथियार: रोकरैट का विकास

RokRAT इस समूह द्वारा इस्तेमाल किया जाने वाला प्रमुख मैलवेयर बना हुआ है और समय के साथ इसमें काफी बदलाव हुए हैं, macOS और Android जैसे प्लेटफॉर्म के लिए भी इसके अनुकूलन किए गए हैं। इसका निरंतर विकास निरंतर परिचालन निवेश को दर्शाता है।

यह मैलवेयर कई प्रकार की दुर्भावनापूर्ण गतिविधियों को अंजाम देने में सक्षम है, जिनमें शामिल हैं:

• पहचान पत्रों की चोरी और संवेदनशील डेटा की चोरी
• स्क्रीनशॉट कैप्चर और सिस्टम रिकॉनेसेंस
• कमांड और शेलकोड का निष्पादन
• फ़ाइल और निर्देशिका में हेरफेर

अपने संचालन को छिपाने के लिए, पहले के संस्करण चोरी किए गए डेटा को MP3 फ़ाइल प्रारूपों में संग्रहीत करते थे। इसके अतिरिक्त, RokRAT ड्रॉपबॉक्स, माइक्रोसॉफ्ट वनड्राइव, pCloud और यांडेक्स क्लाउड जैसे वैध क्लाउड प्लेटफॉर्म के माध्यम से डेटा भेजकर अपने कमांड-एंड-कंट्रोल (C2) संचार को छुपाता है।

विश्वास एक आक्रमण कारक के रूप में: सोशल मीडिया हेरफेर

यह अभियान फर्जी फेसबुक प्रोफाइल बनाकर शुरू होता है, जिनके बारे में कहा जाता है कि वे प्योंगयांग और प्योंगसोंग में स्थित हैं। इन अकाउंट्स का इस्तेमाल संभावित पीड़ितों की पहचान और आकलन करने के लिए किया जाता है। एक बार संपर्क स्थापित हो जाने पर, बातचीत मैसेंजर पर चली जाती है, जहां विश्वास और जुड़ाव बढ़ाने के लिए सावधानीपूर्वक चुने गए विषयों को पेश किया जाता है।

एक महत्वपूर्ण रणनीति है बहानेबाजी, जिसमें लक्षित व्यक्तियों को यह कहकर एक विशेष पीडीएफ व्यूअर स्थापित करने के लिए राजी किया जाता है कि यह एन्क्रिप्टेड सैन्य दस्तावेजों तक पहुंचने के लिए आवश्यक है। प्रदान किया गया एप्लिकेशन वंडरशेयर पीडीएफ एलिमेंट का एक संशोधित संस्करण है, जिसमें दुर्भावनापूर्ण शेलकोड एम्बेडेड है। निष्पादन पर, यह इंस्टॉलर हमलावरों को सिस्टम तक प्रारंभिक पहुंच प्रदान करके हमले की शुरुआत करता है।

स्तरित छल: उन्नत वितरण और बचाव तकनीकें

हमले की श्रृंखला अनेक बचाव रणनीतियों के संयोजन के माध्यम से उच्च स्तर की परिष्कारिता को प्रदर्शित करती है:

• संदेह से बचने के लिए ट्रोजन युक्त वैध सॉफ़्टवेयर का उपयोग करना

गौरतलब है कि हमलावरों ने जापानी रियल एस्टेट सेवा की सियोल शाखा से जुड़ी एक हैक की गई वेबसाइट का फायदा उठाकर कमांड और पेलोड वितरित किए। दूसरे चरण का पेलोड एक हानिरहित छवि फ़ाइल के रूप में दिखाई देता है, जो अंतिम RokRAT तैनाती को छुपाता है।

बहुस्तरीय क्रियान्वयन: सामाजिक संपर्क से लेकर पूर्ण समझौते तक

हमले की प्रक्रिया कई समन्वित चरणों से होकर गुज़रती है। हमलावरों ने 10 नवंबर, 2025 को 'richardmichael0828' और 'johnsonsophia0414' नाम से फेसबुक अकाउंट बनाए। संपर्क स्थापित करने के बाद, बातचीत टेलीग्राम पर स्थानांतरित कर दी जाती है, जहां पीड़ितों को एक ज़िप फ़ाइल मिलती है जिसमें दुर्भावनापूर्ण पीडीएफ व्यूअर, नकली दस्तावेज़ और इंस्टॉलेशन निर्देश होते हैं।

समझौता किए गए इंस्टॉलर के निष्पादन से एन्क्रिप्टेड शेलकोड सक्रिय हो जाता है, जो एक C2 डोमेन से जुड़ता है और एक जेपीजी छवि फ़ाइल के रूप में छिपे हुए द्वितीयक पेलोड को प्राप्त करता है। यह फ़ाइल अंततः पूर्ण RokRAT मैलवेयर को वितरित करती है।

क्लाउड-आधारित कमांड और नियंत्रण: वैध ट्रैफ़िक में घुलमिल जाना

RokRAT, अपने C2 इन्फ्रास्ट्रक्चर के हिस्से के रूप में Zoho WorkDrive का दुरुपयोग करके अपनी गुप्त क्षमता को और बढ़ाता है, यह विधि 2026 की शुरुआत में पहचाने गए 'Ruby Jumper' अभियान में भी देखी गई थी। इस दृष्टिकोण के माध्यम से, मैलवेयर स्क्रीनशॉट कैप्चर, सिस्टम शेल के माध्यम से रिमोट कमांड निष्पादन, होस्ट डेटा संग्रह और सुरक्षा से बचने जैसे कार्य करता है।

रणनीतिक फोकस: कार्य में स्थिरता, वितरण में नवाचार

हालांकि RokRAT की मूल क्षमताएं विभिन्न ऑपरेशनों में काफी हद तक स्थिर रही हैं, लेकिन इसके वितरण तंत्र और बचाव रणनीति लगातार विकसित हो रही हैं। यह रणनीतिक जोर मैलवेयर की मूलभूत कार्यप्रणाली को बदलने के बजाय संक्रमण फैलाने के तरीकों और गुप्त तकनीकों को बेहतर बनाने पर जानबूझकर केंद्रित होने को दर्शाता है।