Operação HanKook Phantom: ScarCruft implementa RokRAT em campanha de Spear-Phishing contra alvos acadêmicos sul-coreanos

Um grupo de hackers ligado à Coreia do Norte, conhecido como ScarCruft (ou APT37), foi identificado como responsável por uma sofisticada campanha de phishing direcionada a acadêmicos, ex-funcionários governamentais e pesquisadores sul-coreanos. Batizada de Operação HanKook Phantom pela Seqrite Labs, a ofensiva utiliza o malware RokRAT para roubar informações sensíveis e realizar espionagem de longo prazo, conforme revelou um relatório publicado na última semana.

A campanha tem como ponto de partida e-mails de spear-phishing cuidadosamente elaborados, que utilizam como isca o boletim informativo “National Intelligence Research Society Newsletter – Edição 52”, uma publicação periódica de um grupo de pesquisa sul-coreano focado em inteligência nacional, segurança, relações trabalhistas e questões energéticas. Esses e-mails contêm um arquivo ZIP com um atalho do Windows (LNK) disfarçado de documento PDF. Ao ser aberto, o arquivo exibe o boletim como distração, enquanto instala secretamente o malware RokRAT no dispositivo da vítima.

O RokRAT, uma ferramenta consolidada do arsenal do ScarCruft, é capaz de coletar informações do sistema, executar comandos arbitrários, listar arquivos, capturar telas e baixar outros payloads maliciosos. Os dados roubados são enviados para serviços de nuvem legítimos, como Dropbox, Google Cloud, pCloud e Yandex Cloud, dificultando a detecção ao camuflar o tráfego malicioso como atividade normal.

Além dessa tática, os pesquisadores da Seqrite identificaram uma segunda campanha, na qual o arquivo LNK atua como canal para um script PowerShell. Este, por sua vez, exibe um documento falso do Microsoft Word como isca, enquanto executa um script em lote do Windows ofuscado que implanta um dropper. Esse dropper instala um payload secundário para roubar dados, mascarando o tráfego de rede como um upload do navegador Chrome.

O documento usado como isca nessa campanha é uma declaração de 28 de julho de Kim Yo Jong, vice-diretora do Departamento de Publicidade e Informação do Partido dos Trabalhadores da Coreia, rejeitando tentativas de reconciliação de Seul.

“A análise desta campanha revela a sofisticação do ScarCruft, que utiliza ataques de spear-phishing altamente personalizados, carregadores LNK maliciosos, execução de PowerShell sem arquivo e métodos de exfiltração discretos”, afirmou Dixit Panchal, pesquisador da Seqrite Labs. Ele destacou que os hackers têm como alvos principais membros da National Intelligence Research Association, incluindo acadêmicos e ex-funcionários do governo sul-coreano, com o objetivo de coletar inteligência estratégica e manter operações de espionagem prolongadas.

Paralelamente, a empresa de segurança QiAnXin revelou que outro grupo norte-coreano, o Lazarus Group, tem utilizado táticas do tipo ClickFix, enganando vítimas com supostas atualizações da NVIDIA para instalar o malware BeaverTail, um ladrão de informações em JavaScript que pode abrir caminho para o backdoor InvisibleFerret.

Esses ataques ilustram a crescente complexidade das operações cibernéticas norte-coreanas, que exploram vulnerabilidades em sistemas e manipulam a confiança dos usuários.

A descoberta coincide com novas sanções impostas pelo Departamento do Tesouro dos EUA contra indivíduos e entidades envolvidos em esquemas de trabalhadores remotos de TI da Coreia do Norte, usados para financiar programas de armas do regime.

Um relatório do Chollima Group também expôs atividades do grupo Moonstone Sleet, ligado a um jogo de blockchain chamado DefiTankLand, desenvolvido por profissionais de TI norte-coreanos sob fachada de empresas legítimas.

A Operação HanKook Phantom reforça a necessidade de vigilância contínua contra ataques cibernéticos patrocinados por estados, especialmente aqueles que exploram iscas personalizadas e serviços de nuvem legítimos para evitar detecção. Especialistas recomendam que instituições e indivíduos mantenham sistemas atualizados, evitem abrir anexos de e-mails suspeitos e implementem soluções avançadas de cibersegurança para mitigar esses riscos.

Via - THN