Preventivo sconto multi-licenza
Database delle minacce Porte sul retro Malware RokRAT

Malware RokRAT

Entro Mezo nel Porte sul retro, Minaccia persistente avanzata (APT)
Traduci in:

Il gruppo di hacker nordcoreano APT37 (noto anche come ScarCruft) è stato collegato a una sofisticata campagna informatica a più fasi che sfrutta l'ingegneria sociale attraverso Facebook. Gli aggressori avviano il contatto inviando richieste di amicizia, instaurando gradualmente un rapporto di fiducia prima di trasformare l'interazione in un canale di diffusione di malware. Questa manipolazione calcolata consente infine l'installazione del trojan di accesso remoto RokRAT.

Arma preferita: l’evoluzione di RokRAT

RokRAT rimane il malware principale utilizzato dal gruppo e si è evoluto significativamente nel tempo, con adattamenti per piattaforme come macOS e Android. Il suo continuo sviluppo evidenzia un investimento operativo costante.

Il malware è in grado di eseguire un'ampia gamma di attività dannose, tra cui:

  • Raccolta di credenziali ed esfiltrazione di dati sensibili
  • Acquisizione di schermate e ricognizione del sistema
  • Esecuzione di comandi e shellcode
  • Manipolazione di file e directory

Per celare le proprie operazioni, le varianti precedenti memorizzavano i dati rubati in formato MP3. Inoltre, RokRAT maschera le comunicazioni di comando e controllo (C2) instradando i dati attraverso piattaforme cloud legittime come Dropbox, Microsoft OneDrive, pCloud e Yandex Cloud.

La fiducia come vettore d’attacco: la manipolazione dei social media

La campagna inizia con la creazione di profili Facebook fraudolenti, presumibilmente con sede a Pyongyang e Pyongsong. Questi account vengono utilizzati per identificare e valutare le potenziali vittime. Una volta stabilito un contatto, le conversazioni si spostano su Messenger, dove vengono introdotti argomenti attentamente selezionati per consolidare la fiducia e il coinvolgimento.

Una tattica cruciale impiegata è il pretexting, ovvero convincere le vittime a installare un visualizzatore PDF specializzato con la falsa premessa che sia necessario per accedere a documenti militari crittografati. L'applicazione fornita è una versione modificata di Wondershare PDFelement, contenente codice dannoso. Una volta eseguito, questo programma di installazione avvia la compromissione concedendo agli aggressori l'accesso iniziale al sistema.

Inganno a più livelli: tecniche avanzate di diffusione ed elusione

La sequenza di attacco dimostra un elevato grado di sofisticazione grazie alla combinazione di molteplici strategie di elusione:

  • Utilizzo di software legittimo infettato da trojan per eludere i sospetti
  • Sfruttamento di infrastrutture web compromesse ma affidabili per operazioni di comando e controllo (C2).
  • Mascherare payload dannosi come file innocui, come immagini JPG

In particolare, gli aggressori hanno sfruttato un sito web compromesso, collegato alla filiale di Seul di un'agenzia immobiliare giapponese, per distribuire comandi e payload. Il payload di secondo stadio appare come un innocuo file immagine, nascondendo l'installazione finale di RokRAT.

Esecuzione a più fasi: dal contatto sociale al compromesso completo

La sequenza dell'attacco si articola in diverse fasi coordinate. Gli autori della minaccia hanno creato gli account Facebook "richardmichael0828" e "johnsonsophia0414" il 10 novembre 2025. Dopo aver instaurato un rapporto, la comunicazione viene reindirizzata su Telegram, dove le vittime ricevono un archivio ZIP contenente un visualizzatore PDF dannoso, documenti esca e istruzioni per l'installazione.

L'esecuzione del programma di installazione compromesso attiva uno shellcode crittografato che si connette a un dominio C2 e recupera un payload secondario camuffato da file immagine JPG. Questo file, in definitiva, distribuisce il malware RokRAT completo.

Comando e controllo basati sul cloud: integrazione nel traffico legittimo

RokRAT migliora ulteriormente la sua capacità di mimetizzarsi sfruttando Zoho WorkDrive come parte della sua infrastruttura C2, un metodo già osservato nella campagna "Ruby Jumper" identificata all'inizio del 2026. Attraverso questo approccio, il malware esegue funzioni quali l'acquisizione di screenshot, l'esecuzione di comandi remoti tramite shell di sistema, la raccolta di dati dell'host e l'elusione delle misure di sicurezza.

Obiettivo strategico: stabilità operativa, innovazione nell’erogazione dei servizi.

Sebbene le funzionalità principali di RokRAT siano rimaste sostanzialmente invariate nel corso delle varie operazioni, i suoi meccanismi di diffusione e le tattiche di elusione continuano a evolversi. Questa enfasi strategica dimostra una precisa attenzione al miglioramento dei vettori di infezione e delle tecniche di occultamento, piuttosto che alla modifica delle funzionalità di base del malware.

Post correlati

Tendenza

I più visti

Caricamento in corso...