CibersegurançaNotícias

Malware RokRAT: A nova arma do grupo ScarCruft da Coreia do Norte

Imagem do autor do SempreUpdate Jardeson Márcio
Escrito por
Jardeson Márcio
Imagem do autor do SempreUpdate Jardeson Márcio
PorJardeson Márcio
Jardeson Márcio é Jornalista e Mestre em Tecnologia Agroalimentar pela Universidade Federal da Paraíba. Com 8 anos de experiência escrevendo no SempreUpdate, Jardeson é um especialista...
Follow:
malware IA

Saiba como o grupo hacker ScarCruft, da Coreia do Norte, está usando o sofisticado malware RokRAT para espionar acadêmicos e pesquisadores.

Um novo alerta de cibersegurança revelou mais uma investida sofisticada de hackers ligados ao governo da Coreia do Norte. O grupo conhecido como ScarCruft, também identificado como APT37, lançou recentemente a chamada “Operação HanKook Phantom”, uma campanha de espionagem digital altamente direcionada que expõe vulnerabilidades em instituições acadêmicas e governamentais da Coreia do Sul.

Conteúdo

No centro dessa ofensiva está o malware RokRAT, uma ferramenta já conhecida por sua capacidade de se infiltrar, coletar e exfiltrar dados confidenciais de forma furtiva. Este artigo detalha como essa nova campanha foi conduzida, como o RokRAT funciona tecnicamente e por que figuras acadêmicas e ex-funcionários sul-coreanos foram alvos estratégicos do ataque.

A operação reforça a crescente ameaça representada por grupos de Ameaças Persistentes Avançadas (APT) e evidencia o uso de táticas de spear-phishing altamente personalizadas para fins de espionagem política e militar.

Alerta de malware em tons vermelhos destacando um aviso de infecção, ilustrando a ameaça do vírus Perfctl em servidores Linux.

O que é a operação HanKook Phantom

A Operação HanKook Phantom é uma nova campanha de ciberespionagem atribuída ao grupo ScarCruft (APT37), conhecido por sua ligação direta com o regime norte-coreano e por operar com foco em alvos estratégicos na Ásia. Esta campanha ganhou atenção por utilizar o malware RokRAT em ataques direcionados contra membros da National Intelligence Research Association, na Coreia do Sul.

Os alvos incluíam acadêmicos, ex-funcionários do governo e pesquisadores, todos envolvidos com estudos e análises relacionadas à segurança nacional e política externa. O objetivo principal da operação foi o roubo de informações sensíveis, permitindo aos atacantes acesso privilegiado a dados estratégicos. Além disso, o ataque visava estabelecer persistência nas redes das vítimas, facilitando futuras incursões e ampliando o escopo de espionagem.

RokRAT: o espião digital no centro do ataque

O malware RokRAT tem sido uma ferramenta central nas campanhas do grupo ScarCruft, sendo usado desde pelo menos 2016. Escrito em linguagem PowerShell e projetado para ser leve e modular, o RokRAT é ideal para ataques que exigem discrição e persistência em ambientes de alto valor.

Funcionalidades principais do RokRAT:

  • Coleta de informações do sistema: capta dados sobre o ambiente da máquina, usuários e conexões de rede
  • Execução remota de comandos: permite ao operador controlar a máquina comprometida em tempo real
  • Captura de telas: tira screenshots periodicamente para espionar as atividades da vítima
  • Download e execução de payloads adicionais: amplia as capacidades do ataque, incluindo outros tipos de malware
  • Exfiltração de dados usando serviços legítimos: um dos aspectos mais notáveis do RokRAT é sua utilização de serviços em nuvem como Dropbox, Google Cloud, pCloud e Yandex.Disk para transmitir informações roubadas, disfarçando a atividade como tráfego legítimo

Esse uso de plataformas populares dificulta a detecção, pois o tráfego gerado pode parecer inofensivo para sistemas de segurança convencionais.

A anatomia do ataque: do e-mail ao malware

O vetor de entrada: o e-mail de spear-phishing

A campanha da Operação HanKook Phantom começa com um e-mail de spear-phishing altamente direcionado, elaborado para se parecer com uma publicação legítima da “National Intelligence Research Society”. O anexo malicioso é um arquivo compactado em formato ZIP, que contém um arquivo de atalho (.LNK) disfarçado.

O gatilho: o arquivo LNK

O arquivo LNK, muitas vezes interpretado erroneamente como um documento PDF pelo usuário, serve como o gatilho da infecção. Ao ser clicado, ele executa um script PowerShell em segundo plano, ao mesmo tempo em que exibe um documento isca autêntico para a vítima, garantindo que a ação passe despercebida.

A fase final: PowerShell e execução fileless

O ataque é realizado de maneira fileless, ou seja, sem gravar arquivos maliciosos diretamente no disco, o que dificulta a detecção por antivírus tradicionais. O PowerShell é usado para baixar e executar o RokRAT diretamente na memória. Para evitar alarmes, o tráfego de rede gerado pelo malware é camuflado como se fosse um upload legítimo feito pelo navegador Google Chrome.

Contexto maior: ScarCruft no ecossistema de hackers norte-coreanos

O grupo ScarCruft opera em paralelo com outras células cibernéticas associadas ao governo norte-coreano, como o Lazarus Group, conhecido por ataques a bancos e criptomoedas. A Coreia do Norte utiliza esses grupos como braços operacionais para espionagem, sabotagem e obtenção de recursos financeiros, em um contexto de sanções internacionais severas.

Recentemente, o Departamento do Tesouro dos EUA impôs novas sanções contra esquemas de trabalhadores de TI norte-coreanos, que operam globalmente para financiar o regime por meio de contratos falsos e lavagem de dinheiro. Outra célula emergente, o grupo Moonstone Sleet, tem sido associada ao uso de jogos baseados em blockchain como vetor para disseminação de malware e geração de receita.

Este cenário mostra que o ataque com o malware RokRAT não é um evento isolado, mas parte de uma estratégia coordenada e contínua de ciberataques estatais.

Conclusão: como se proteger e as implicações do ataque

A Operação HanKook Phantom é mais um exemplo do avanço da espionagem cibernética por meio de engenharia social e malware sofisticado como o RokRAT. O ataque combina persuasão psicológica, ofuscação técnica e canais legítimos de exfiltração para contornar defesas convencionais e obter acesso a dados estratégicos.

A atuação persistente do grupo ScarCruft demonstra que qualquer indivíduo ou organização com dados sensíveis pode ser um alvo, especialmente em contextos acadêmicos e políticos.

Como se proteger:

  • Desconfie de e-mails com anexos não solicitados, mesmo que pareçam legítimos
  • Verifique extensões de arquivos ocultas, como arquivos .LNK disfarçados
  • Mantenha seus sistemas operacionais e softwares de segurança atualizados
  • Eduque sua equipe sobre os riscos de spear-phishing e ameaças digitais

Compartilhar esse tipo de informação é essencial para conscientizar mais pessoas sobre as ameaças reais que circulam no ambiente digital. Se este conteúdo foi útil para você, repasse a informação e ajude a fortalecer a segurança coletiva.

TAGGED:
Compartilhe este artigo
Artigo anterior Power Bank Xiaomi Recall Power Bank Xiaomi: Risco de Incêndio no Modelo PB2030MI
AndroidNotícias

Android Automotive: O sistema por trás dos jogos na Polestar

Android Automotive OS

Entenda como a parceria entre Polestar e GeoGuessr revela o poder do Android Automotive em transformar carros em verdadeiras plataformas de software.

Por Jardeson Márcio

Leia também

Posts sobre o mesmo assunto