Phần mềm độc hại RokRAT

Nhóm tin tặc Triều Tiên APT37 (còn được gọi là ScarCruft) có liên quan đến một chiến dịch tấn công mạng tinh vi, nhiều giai đoạn, sử dụng kỹ thuật thao túng tâm lý thông qua Facebook. Những kẻ tấn công bắt đầu bằng việc gửi yêu cầu kết bạn, dần dần xây dựng lòng tin trước khi biến tương tác đó thành kênh phát tán phần mềm độc hại. Sự thao túng có tính toán này cuối cùng cho phép triển khai phần mềm độc hại truy cập từ xa RokRAT.

Vũ khí được ưa chuộng: Sự tiến hóa của RokRAT

RokRAT vẫn là phần mềm độc hại chính được nhóm này sử dụng và đã phát triển đáng kể theo thời gian, với các phiên bản dành cho các nền tảng như macOS và Android. Việc tiếp tục phát triển phần mềm này cho thấy sự đầu tư bền vững vào hoạt động của nhóm.

Phần mềm độc hại này có khả năng thực hiện nhiều hoạt động độc hại khác nhau, bao gồm:

• Thu thập thông tin đăng nhập và rò rỉ dữ liệu nhạy cảm
• Chụp ảnh màn hình và trinh sát hệ thống
• Thực thi các lệnh và shellcode
• Thao tác với tập tin và thư mục

Để che giấu hoạt động của mình, các biến thể trước đây lưu trữ dữ liệu đánh cắp được dưới dạng tệp MP3. Ngoài ra, RokRAT ngụy trang hoạt động điều khiển và kiểm soát (C2) bằng cách định tuyến dữ liệu thông qua các nền tảng đám mây hợp pháp như Dropbox, Microsoft OneDrive, pCloud và Yandex Cloud.

Lòng tin như một phương thức tấn công: Thao túng mạng xã hội

Chiến dịch bắt đầu bằng việc tạo ra các tài khoản Facebook giả mạo, được cho là có trụ sở tại Bình Nhưỡng và Pyongsong. Những tài khoản này được sử dụng để xác định và đánh giá các nạn nhân tiềm năng. Sau khi thiết lập được kết nối, các cuộc trò chuyện chuyển sang Messenger, nơi các chủ đề được lựa chọn cẩn thận được đưa ra để củng cố lòng tin và sự tương tác.

Một chiến thuật quan trọng được sử dụng là tạo cớ, thuyết phục các mục tiêu cài đặt một trình xem PDF chuyên dụng với lý do sai lầm rằng nó cần thiết để truy cập các tài liệu quân sự được mã hóa. Ứng dụng được cung cấp là một phiên bản sửa đổi của Wondershare PDFelement, được nhúng mã độc. Khi được thực thi, trình cài đặt này sẽ bắt đầu quá trình xâm nhập bằng cách cấp cho kẻ tấn công quyền truy cập hệ thống ban đầu.

Đánh lừa nhiều lớp: Các kỹ thuật giao hàng và né tránh nâng cao

Chuỗi tấn công thể hiện mức độ tinh vi cao thông qua sự kết hợp của nhiều chiến lược né tránh:

• Sử dụng phần mềm hợp pháp bị nhiễm mã độc để tránh bị nghi ngờ.
• Khai thác cơ sở hạ tầng web bị xâm phạm nhưng vẫn đáng tin cậy để thực hiện các hoạt động chỉ huy và điều khiển (C2).

• Che giấu các phần mềm độc hại dưới dạng các tệp tin vô hại, chẳng hạn như ảnh JPG.

Đáng chú ý, tin tặc đã lợi dụng một trang web bị xâm nhập liên kết với chi nhánh Seoul của một công ty dịch vụ bất động sản Nhật Bản để phát tán các lệnh và phần mềm độc hại. Phần mềm độc hại giai đoạn hai xuất hiện dưới dạng một tệp hình ảnh vô hại, che giấu quá trình triển khai RokRAT cuối cùng.

Thực hiện nhiều giai đoạn: Từ tiếp xúc xã giao đến thỏa hiệp toàn diện

Chuỗi tấn công diễn ra qua nhiều giai đoạn phối hợp. Các tác nhân đe dọa đã tạo các tài khoản Facebook có tên 'richardmichael0828' và 'johnsonsophia0414' vào ngày 10 tháng 11 năm 2025. Sau khi thiết lập mối quan hệ, quá trình liên lạc được chuyển hướng đến Telegram, nơi các nạn nhân nhận được một tệp lưu trữ ZIP chứa trình xem PDF độc hại, các tài liệu giả mạo và hướng dẫn cài đặt.

Việc thực thi trình cài đặt bị xâm nhập sẽ kích hoạt mã shellcode được mã hóa, kết nối đến máy chủ C2 và tải xuống một payload phụ được ngụy trang dưới dạng tệp hình ảnh JPG. Tệp này cuối cùng sẽ phát tán phần mềm độc hại RokRAT hoàn chỉnh.

Điều khiển và giám sát dựa trên đám mây: Hòa nhập vào lưu lượng truy cập hợp pháp

RokRAT tăng cường khả năng ẩn mình bằng cách lợi dụng Zoho WorkDrive như một phần của cơ sở hạ tầng C2, một phương pháp cũng được quan sát thấy trong chiến dịch 'Ruby Jumper' được xác định vào đầu năm 2026. Thông qua cách tiếp cận này, phần mềm độc hại thực hiện các chức năng như chụp ảnh màn hình, thực thi lệnh từ xa thông qua shell hệ thống, thu thập dữ liệu máy chủ và né tránh bảo mật.

Trọng tâm chiến lược: Ổn định về chức năng, đổi mới về phương thức cung cấp dịch vụ.

Mặc dù các khả năng cốt lõi của RokRAT phần lớn vẫn nhất quán trong các chiến dịch, nhưng cơ chế lây nhiễm và chiến thuật né tránh của nó vẫn tiếp tục phát triển. Sự nhấn mạnh chiến lược này thể hiện sự tập trung có chủ đích vào việc cải thiện các phương thức lây nhiễm và kỹ thuật ẩn mình hơn là thay đổi chức năng nền tảng của phần mềm độc hại.