Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Achterdeurtjes RokRAT-malware

RokRAT-malware

Tegen Mezo in Achterdeurtjes, Geavanceerde aanhoudende dreiging (APT)
Vertalen naar:

De Noord-Koreaanse dreigingsgroep APT37 (ook bekend als ScarCruft) wordt in verband gebracht met een geavanceerde, meerfasige cybercampagne die gebruikmaakt van social engineering via Facebook. Aanvallers leggen contact door vriendschapsverzoeken te sturen, bouwen geleidelijk vertrouwen op en transformeren de interactie vervolgens in een kanaal voor de verspreiding van malware. Deze berekende manipulatie maakt uiteindelijk de inzet van de remote access trojan RokRAT mogelijk.

Wapen naar keuze: De evolutie van RokRAT

RokRAT blijft de belangrijkste malware die door de groep wordt gebruikt en is in de loop der tijd aanzienlijk geëvolueerd, met aanpassingen voor platforms zoals macOS en Android. De voortdurende ontwikkeling ervan wijst op aanhoudende operationele investeringen.

De malware is in staat een breed scala aan kwaadaardige activiteiten uit te voeren, waaronder:

  • Het verzamelen van inloggegevens en het lekken van gevoelige data.
  • Screenshot maken en systeemverkenning
  • Uitvoering van commando's en shellcode
  • Bestands- en mapmanipulatie

Om de activiteiten te verbergen, sloegen eerdere varianten gestolen gegevens op in MP3-bestanden. Daarnaast maskeert RokRAT zijn command-and-control (C2)-communicatie door gegevens via legitieme cloudplatformen zoals Dropbox, Microsoft OneDrive, pCloud en Yandex Cloud te routeren.

Vertrouwen als aanvalsvector: manipulatie via sociale media

De campagne begint met het aanmaken van frauduleuze Facebook-profielen, naar verluidt gevestigd in Pyongyang en Pyongsong. Deze accounts worden gebruikt om potentiële slachtoffers te identificeren en te beoordelen. Zodra er contact is gelegd, verplaatst het gesprek zich naar Messenger, waar zorgvuldig geselecteerde onderwerpen worden aangesneden om vertrouwen en betrokkenheid te vergroten.

Een cruciale tactiek die wordt toegepast, is pretexting. Doelwitten worden overgehaald om een gespecialiseerde PDF-viewer te installeren onder het valse voorwendsel dat dit nodig is om toegang te krijgen tot versleutelde militaire documenten. De aangeboden applicatie is een aangepaste versie van Wondershare PDFelement, ingebed met kwaadaardige shellcode. Na uitvoering initieert dit installatieprogramma de inbreuk door aanvallers initiële systeemtoegang te verlenen.

Gelaagde misleiding: geavanceerde presentatie- en ontwijkingstechnieken

De aanvalsketen getuigt van een hoge mate van verfijning door de combinatie van meerdere ontwijkingsstrategieën:

  • Gebruik van met Trojaans paard geïnfecteerde legitieme software om verdenking te omzeilen.
  • Het exploiteren van gecompromitteerde maar vertrouwde webinfrastructuur voor C2-operaties.
  • Het vermommen van kwaadaardige programma's als onschadelijke bestanden, zoals JPG-afbeeldingen.

    • Opvallend is dat de aanvallers gebruik maakten van een gehackte website, gelinkt aan de vestiging in Seoul van een Japans makelaarskantoor, om commando's en payloads te verspreiden. De payload van de tweede fase verschijnt als een onschadelijk afbeeldingsbestand, waardoor de uiteindelijke RokRAT-implementatie wordt gemaskeerd.

    Uitvoering in meerdere fasen: van sociaal contact tot volledig compromis

    De aanval verloopt via verschillende gecoördineerde fasen. De daders creëerden op 10 november 2025 Facebook-accounts met de namen 'richardmichael0828' en 'johnsonsophia0414'. Nadat contact was gelegd, werd de communicatie omgeleid naar Telegram, waar slachtoffers een ZIP-archief ontvingen met de schadelijke PDF-viewer, lokdocumenten en installatie-instructies.

    Het uitvoeren van het gecompromitteerde installatieprogramma activeert versleutelde shellcode, die verbinding maakt met een C2-domein en een secundaire payload ophaalt, vermomd als een JPG-afbeelding. Dit bestand levert uiteindelijk de volledige RokRAT-malware.

    Cloudgebaseerd commando- en controlesysteem: naadloos integreren in het legitieme verkeer.

    RokRAT verbetert zijn stealth-mogelijkheden verder door Zoho WorkDrive te misbruiken als onderdeel van zijn C2-infrastructuur, een methode die ook werd waargenomen in de 'Ruby Jumper'-campagne die begin 2026 werd ontdekt. Via deze aanpak voert de malware functies uit zoals het maken van screenshots, het uitvoeren van commando's op afstand via systeemshells, het verzamelen van hostgegevens en het omzeilen van beveiligingsmaatregelen.

    Strategische focus: Stabiliteit in functioneren, innovatie in dienstverlening

    Hoewel de kernfunctionaliteiten van RokRAT grotendeels consistent zijn gebleven, blijven de verspreidingsmechanismen en ontwijkingstactieken zich ontwikkelen. Deze strategische focus toont een weloverwogen nadruk op het verbeteren van infectievectoren en stealthtechnieken, in plaats van het wijzigen van de fundamentele functionaliteit van de malware.

    Gerelateerde berichten

    Trending

    Meest bekeken

    Bezig met laden...