Злонамерни софтвер RokRAT

Севернокорејска група за претње APT37 (позната и као ScarCruft) повезана је са софистицираном, вишестепеном сајбер кампањом која користи друштвени инжењеринг преко Фејсбука. Нападачи иницирају контакт слањем захтева за пријатељство, постепено градећи поверење пре него што трансформишу интеракцију у канал за испоруку злонамерног софтвера. Ова прорачуната манипулација на крају омогућава распоређивање тројанца RokRAT за даљински приступ.

Оружје по избору: Еволуција РокРАТ-а

RokRAT остаје примарни злонамерни софтвер који користи група и значајно се развио током времена, са адаптацијама за платформе као што су macOS и Android. Његов континуирани развој истиче одрживе оперативне инвестиције.

Злонамерни софтвер је способан да изврши широк спектар злонамерних активности, укључујући:

• Прикупљање акредитива и крађа осетљивих података
• Снимање екрана и извиђање система
• Извршавање команди и шел кода
• Манипулација датотекама и директоријумима

Да би прикрили своје операције, раније варијанте су чувале украдене податке у MP3 форматима датотека. Поред тога, RokRAT прикрива своју комуникацију командовања и контроле (C2) усмеравањем података преко легитимних облачних платформи као што су Dropbox, Microsoft OneDrive, pCloud и Yandex Cloud.

Поверење као вектор напада: Манипулација друштвеним медијима

Кампања почиње креирањем лажних Фејсбук профила, наводно са седиштем у Пјонгјангу и Пјонгсонгу. Ови налози се користе за идентификацију и процену потенцијалних жртава. Када се веза успостави, разговори се пребацују на Месинџер, где се уводе пажљиво одабране теме како би се продубило поверење и ангажовање.

Кључна тактика која се користи јесте изговор, убеђивање мета да инсталирају специјализовани PDF прегледач под лажном претпоставком да је потребан за приступ шифрованим војним документима. Апликација која се пружа је модификована верзија Wondershare PDFelement-а, у коју је уграђен злонамерни shellcode. Након извршавања, овај инсталатер покреће компромитовање тако што нападачима даје почетни приступ систему.

Слојевита обмана: Напредне технике испоруке и избегавања

Ланац напада показује висок степен софистицираности кроз комбинацију вишеструких стратегија избегавања:

• Коришћење легитимног софтвера зараженог тројанцима ради заобилажења сумње
• Искоришћавање угрожене, али поуздане веб инфраструктуре за C2 операције

• Прикривање злонамерних корисних садржаја као бенигних датотека, као што су JPG слике

Приметно је да су нападачи искористили компромитовану веб страницу повезану са сеулском филијалом једне јапанске агенције за некретнине како би дистрибуирали команде и корисне податке. Корисни подаци друге фазе појављују се као безопасна датотека слике, прикривајући коначно распоређивање RokRAT-а.

Вишестепено извршење: од друштвеног контакта до потпуног компромиса

Напад се одвија кроз неколико координисаних фаза. Претње су креирале Фејсбук налоге под називима „richardmichael0828“ и „johnsonsophia0414“ 10. новембра 2025. године. Након успостављања односа, комуникација се преусмерава на Телеграм, где жртве добијају ZIP архиву која садржи злонамерни PDF прегледач, мамце и упутства за инсталацију.

Извршавање компромитованог инсталатера покреће шифровани шел код, који се повезује са C2 доменом и преузима секундарни корисни терет прикривен као JPG датотека слике. Ова датотека на крају испоручује комплетан RokRAT малвер.

Командовање и контрола засновано на облаку: Стапање у легитиман саобраћај

RokRAT додатно побољшава своју прикривеност злоупотребом Zoho WorkDrive-а као дела своје C2 инфраструктуре, метода која је такође примећена у кампањи „Ruby Jumper“ идентификованој почетком 2026. године. Кроз овај приступ, злонамерни софтвер обавља функције као што су снимање екрана, даљинско извршавање команди путем системских шкољки, прикупљање података хоста и избегавање безбедности.

Стратешки фокус: Стабилност у функцији, иновације у испоруци

Иако су основне могућности RokRAT-а остале углавном доследне у свим операцијама, његови механизми испоруке и тактике избегавања се настављају развијати. Овај стратешки нагласак показује намерни фокус на побољшању вектора инфекције и техника прикривености, уместо на промени основне функционалности злонамерног софтвера.