Malware ng RokRAT

Ang grupong banta sa Hilagang Korea na APT37 (kilala rin bilang ScarCruft) ay naiugnay sa isang sopistikado at maraming yugtong kampanya sa cyber na gumagamit ng social engineering sa pamamagitan ng Facebook. Sinisimulan ng mga umaatake ang pakikipag-ugnayan sa pamamagitan ng pagpapadala ng mga kahilingan para maging kaibigan, na unti-unting bumubuo ng tiwala bago gawing isang channel ng paghahatid ng malware ang interaksyon. Ang kalkuladong manipulasyong ito sa huli ay nagbibigay-daan sa pag-deploy ng remote access trojan na RokRAT.

Sandata ng Pagpipilian: Ang Ebolusyon ng RokRAT

Ang RokRAT ay nananatiling pangunahing malware na ginagamit ng grupo at malaki ang naging unlad sa paglipas ng panahon, na may mga adaptasyon para sa mga platform tulad ng macOS at Android. Itinatampok ng patuloy na pag-unlad nito ang patuloy na pamumuhunan sa operasyon.

Ang malware ay may kakayahang magsagawa ng malawak na hanay ng mga malisyosong aktibidad, kabilang ang:

• Pagkuha ng kredensyal at pag-exfilt ng sensitibong datos
• Pagkuha ng screenshot at pagmamanman sa sistema
• Pagpapatupad ng mga utos at shellcode
• Pagmamanipula ng file at direktoryo

Upang maitago ang mga operasyon nito, iniimbak ng mga naunang variant ang ninakaw na data sa mga format ng MP3 file. Bukod pa rito, itinatago ng RokRAT ang mga komunikasyon nito sa command-and-control (C2) sa pamamagitan ng pagruruta ng data sa pamamagitan ng mga lehitimong cloud platform tulad ng Dropbox, Microsoft OneDrive, pCloud, at Yandex Cloud.

Tiwala bilang Isang Salik ng Pag-atake: Manipulasyon sa Social Media

Nagsisimula ang kampanya sa paglikha ng mga mapanlinlang na persona sa Facebook, na sinasabing nakabase sa Pyongyang at Pyongsong. Ginagamit ang mga account na ito upang matukoy at masuri ang mga potensyal na biktima. Kapag naitatag na ang koneksyon, lilipat ang mga pag-uusap sa Messenger, kung saan ipinakikilala ang mga maingat na piniling paksa upang mapalalim ang tiwala at pakikipag-ugnayan.

Isang kritikal na taktika na ginagamit ay ang pagkukunwari, pagkumbinsi sa mga target na mag-install ng isang espesyal na PDF viewer sa ilalim ng maling premisa na kinakailangan ito upang ma-access ang mga naka-encrypt na dokumentong militar. Ang application na ibinigay ay isang binagong bersyon ng Wondershare PDFelement, na may naka-embed na malisyosong shellcode. Sa pagpapatupad, sisimulan ng installer na ito ang kompromiso sa pamamagitan ng pagbibigay sa mga attacker ng paunang access sa system.

Patong-patong na Panlilinlang: Mga Advanced na Teknik sa Paghahatid at Pag-iwas

Ang kadena ng pag-atake ay nagpapakita ng mataas na antas ng sopistikasyon sa pamamagitan ng kombinasyon ng maraming estratehiya sa pag-iwas:

• Paggamit ng mga trojanized na lehitimong software upang maiwasan ang hinala
• Paggamit ng nakompromiso ngunit pinagkakatiwalaang imprastraktura ng web para sa mga operasyon ng C2

• Pagbabalatkayo ng mga malisyosong payload bilang mga hindi kanais-nais na file, tulad ng mga larawang JPG

Kapansin-pansin, ginamit ng mga umaatake ang isang nakompromisong website na naka-link sa sangay ng isang serbisyo sa real estate sa Japan sa Seoul upang ipamahagi ang mga command at payload. Ang second-stage payload ay lumilitaw bilang isang hindi nakakapinsalang image file, na itinatago ang pangwakas na pag-deploy ng RokRAT.

Pagpapatupad sa Maraming Yugto: Mula sa Pakikipag-ugnayang Panlipunan Hanggang sa Ganap na Kompromiso

Ang pagkakasunod-sunod ng pag-atake ay dumadaan sa ilang magkakaugnay na yugto. Ang mga aktor ng pagbabanta ay lumikha ng mga Facebook account na pinangalanang 'richardmichael0828' at 'johnsonsophia0414' noong Nobyembre 10, 2025. Matapos maitatag ang magandang ugnayan, ang komunikasyon ay ire-redirect sa Telegram, kung saan ang mga biktima ay makakatanggap ng isang ZIP archive na naglalaman ng malisyosong PDF viewer, mga dokumentong decoy, at mga tagubilin sa pag-install.

Ang pagpapatupad ng nakompromisong installer ay nagti-trigger ng naka-encrypt na shellcode, na kumokonekta sa isang C2 domain at kumukuha ng pangalawang payload na nagbabalatkayo bilang isang JPG image file. Sa huli, ang file na ito ang maghahatid ng buong RokRAT malware.

Cloud-Based Command and Control: Pagsasama sa Lehitimong Trapiko

Mas pinahuhusay pa ng RokRAT ang pagiging lihim nito sa pamamagitan ng pag-abuso sa Zoho WorkDrive bilang bahagi ng imprastraktura nitong C2, isang pamamaraan na naobserbahan din sa kampanyang 'Ruby Jumper' na natukoy noong unang bahagi ng 2026. Sa pamamagitan ng pamamaraang ito, ang malware ay nagsasagawa ng mga tungkulin tulad ng pagkuha ng screenshot, pagpapatupad ng remote command sa pamamagitan ng mga system shell, pagkolekta ng data ng host, at pag-iwas sa seguridad.

Pokus sa Istratehiya: Katatagan sa Tungkulin, Inobasyon sa Paghahatid

Bagama't nanatiling halos pare-pareho ang mga pangunahing kakayahan ng RokRAT sa iba't ibang operasyon, ang mga mekanismo ng paghahatid at mga taktika ng pag-iwas nito ay patuloy na nagbabago. Ang estratehikong pagbibigay-diin na ito ay nagpapakita ng isang sinasadyang pagtuon sa pagpapabuti ng mga vector ng impeksyon at mga pamamaraan ng stealth sa halip na baguhin ang pangunahing paggana ng malware.