胶囊

考虑到那里的互联网访问受到多么严格的限制，人们会对来自朝鲜的许多备受瞩目的黑客攻击活动感到惊讶。过去，过去只有一个来自朝鲜的杰出黑客组织，那就是拉撒路组织。但是，最近出现了一个新星-ScarCruft黑客组织，也被称为APT37 （高级持久威胁）。

自我保存技术

ScarCruft黑客小组拥有不断扩大的黑客工具库。其中包括GELCAPSULE Trojan下载器。已确定此威胁能够识别它是否正在沙盒环境中运行。如果是这种情况，作为一种自我保护的方法，GELCAPSULE木马将停止其活动。该特洛伊木马下载程序也以其在反病毒解决方案范围内的能力而著称。恶意软件研究人员已经确定，正在使用GELCAPSULE Trojan下载程序来提供ScarCruft组工具中的另一种工具-SLOWDRIFT恶意软件。这场运动主要集中在韩国境内。 ScarCruft黑客组织的大多数目标往往是高级人员。

传播方式

GELCAPSULE木马的作者选择的传播方法是通过附加到虚假电子邮件的宏文件来进行。为了说服他们的目标下载并打开附件，ScarCruft黑客小组确保特别定制了被感染附件随附的消息。

已知会部署三个其他威胁

恶意软件研究人员研究了GELCAPSULE木马，并能够检测到这种威胁传递给受感染主机的其他恶意软件。特别是已经发现了三种黑客工具-KARAE，ZUMKONG和POORAIM。在剖析了这些威胁之后，网络安全专家便能够检测到它们服务于什么目的。 KARAE黑客工具是一个基本的Trojan后门，用于将其他恶意软件传送到受感染的系统。它还可以收集有关主机的信息，并将其虹吸回攻击者。 ZUMKONG被归类为信息窃取者，专门针对保存在流行的Web浏览器（例如Google Chrome和Internet Explorer）中的登录凭据。 POORAIM威胁是一个后门特洛伊木马，它使操作员能够获取受感染主机的桌面的屏幕快照，下载，运行和浏览文件以及收集数据。该黑客工具使用一种过时的方法-AOL消息传递服务接收命令。

ScarCruft黑客组织越来越受到关注，北朝鲜政府很可能会雇用它们，这意味着它们是网络犯罪世界中公认的名称，而且我们将来肯定会继续听到有关他们的活动的消息。