Die nordkoreanische Hackergruppe APT37 (ScarCruft) führt nach aktuellen Analysen des Genians Security Center (GSC) eine mehrstufige Cyber-Spionagekampagne durch, in der soziale Netzwerke und Cloud-Dienste gezielt missbraucht werden. Über gefälschte Kontakte auf Facebook werden Opfer zu einer manipulierten PDF-Software geführt, die letztlich den Spionage-Trojaner RokRAT nachlädt.
Soziale Ingenieurkunst auf Facebook und Telegram als Einstiegspunkt
Laut GSC setzen die Angreifer auf eine ausgefeilte Form der Social-Engineering-Attacken. Mindestens zwei Facebook-Profile mit angeblichem Standort in Pjöngjang und Phyongsong wurden identifiziert. Die Konten „richardmichael0828“ und „johnsonsophia0414“ sollen am 10. November 2025 angelegt worden sein und dienten zur Anbahnung von Kontakten zu ausgewählten Zielpersonen.
Nach der Bestätigung der Freundschaftsanfrage verlagerten die Angreifer die Kommunikation zunächst in Facebook Messenger und anschließend in Telegram, um Dateien austauschen zu können. Dort boten sie angeblich „verschlüsselte militärische Dokumente“ an und behaupteten, diese ließen sich nur mit einem speziellen PDF‑Viewer öffnen. Dieses Vorgehen ist ein klassisches Beispiel für Pretexting: eine glaubwürdige, aber frei erfundene Geschichte soll das Opfer zu einem sicherheitskritischen Schritt bewegen.
Studien wie der Verizon Data Breach Investigations Report 2023 zeigen, dass bei rund drei Viertel aller Sicherheitsvorfälle der menschliche Faktor eine Rolle spielt – Social Engineering zählt dabei zu den dominierenden Angriffsmethoden. Die hier beobachtete Kampagne bestätigt diesen Trend eindrücklich.
Technische Infektionskette: trojanisierter PDF-Viewer und versteckter Shellcode
Der vermeintliche PDF‑Viewer entpuppt sich als modifizierte Version von Wondershare PDFelement. Über Telegram erhalten die Opfer ein ZIP-Archiv, das einen manipulierten Installer, mehrere PDF-Dokumente sowie eine Textdatei mit Installationshinweisen enthält. Der Eindruck einer legitimen Softwareverteilung wird dadurch gezielt verstärkt.
Beim Start des Installers wird im Hintergrund ein verschlüsselter Shellcode in einen legitimen Prozess eingebettet und ausgeführt. Dieser Shellcode dient als Initial Access und stellt die erste Verbindung zu einem Command-and-Control-Server (C2) her. Erst danach werden weitere Stufen der Malware nachgeladen – ein Muster, das in modernen APT-Kampagnen häufig zur Umgehung klassischer Signaturerkennung eingesetzt wird.
Missbrauch legitimer Infrastruktur und Tarnung als JPG-Datei
Besonders kritisch ist die Nutzung kompromittierter, aber legitimer Infrastruktur als C2-Plattform. GSC ordnet die C2‑Aktivität dem Domainnamen japanroom[.]com zu, der mit einer koreanischen Vertretung eines japanischen Immobilienportals in Verbindung steht. Solche Domains genießen oft eine gute Reputation, was die Erkennung rein über URL- oder IP-Reputationslisten deutlich erschwert.
Der zweite Angriffsschritt erfolgt über eine scheinbar harmlose JPG-Datei mit dem Namen „1288247428101.jpg“. In diesem Bild ist ein Code-Snippet verborgen, das die Datei in einen Container für den finalen Payload – den Trojaner RokRAT – verwandelt. Die Kombination aus Datei-Tarnung, Code-Injektion in legitime Prozesse und Nutzung vertrauenswürdiger Web-Infrastruktur erhöht die Chance, sowohl Endpoint-Sicherheit als auch Netzwerkfilter zu umgehen.
RokRAT: etablierter Spionage-Trojaner mit neuem C2-Kanal
Der abschließende Nutzlastbaustein ist der seit Jahren mit APT37 verknüpfte Trojaner RokRAT. Seine Kernfunktionen bleiben weitgehend konstant: Er kann Bildschirmaufnahmen erstellen, System- und Netzwerkinformationen sammeln, beliebige Befehle über cmd.exe ausführen sowie Persistenz auf kompromittierten Systemen aufbauen. Zudem sind Mechanismen zur Umgehung gängiger Sicherheitsprodukte – etwa chinesischer AV-Lösungen wie 360 Total Security – integriert.
Neu in dieser Kampagne ist die intensive Nutzung des Cloud-Dienstes Zoho WorkDrive als C2-Kanal. Schon frühere Analysen von Anbietern wie Zscaler ThreatLabz beschrieben Kampagnen, in denen legitime Cloud-Speicher als Tarnung für schädlichen Datenverkehr dienten. Da der Traffic wie gewöhnlicher Dateiaustausch aussieht, ist eine Blockade ohne Beeinträchtigung legitimer Geschäftsprozesse schwierig.
Auffällig ist, dass sich das Funktionsspektrum von RokRAT selbst kaum verändert, während APT37 kontinuierlich die Liefer- und Tarnkette optimiert: Kombination aus Social Engineering, trojanisiertem kommerziellem Software-Paket, Bild-Tarnung und Cloud-C2 verdeutlicht die strategische Fokussierung auf Umgehung moderner Detektionsmechanismen.
Einordnung und Verteidigungsstrategien für Unternehmen
Die Kampagne unterstreicht, dass soziale Netzwerke und Messenger längst zu vollwertigen Angriffsvektoren geworden sind – insbesondere für Organisationen mit sensiblen Informationen in Behörden, Verteidigung, Forschung und kritischer Infrastruktur. Die reine Fokussierung auf E-Mail-Phishing greift zu kurz.
Aus technischer Sicht sollten Unternehmen Application Allow-Listing etablieren, also nur freigegebene Software auf Endpunkten zulassen. Installationen von Tools, Viewern oder „Spezialprogrammen“ über Links aus privaten Chats sollten grundsätzlich unterbunden oder zumindest stark eingeschränkt werden. Ergänzend sind EDR-Lösungen sinnvoll, die ungewöhnliches Prozessverhalten (z. B. Shellcode-Injektion, auffällige Nutzung von cmd.exe, verdächtige Child-Prozesse legitimer Installer) erkennen.
Auf Netzwerkebene empfiehlt sich die Überwachung von Cloud-Speichern – inklusive Zoho WorkDrive – auf untypische Zugriffsmuster, wie etwa häufige kleine Uploads/Downloads, Zugriffe aus ungewöhnlichen Regionen oder Zeitfenstern sowie die Nutzung von Service-Accounts außerhalb definierter Workflows. Wo möglich, sollten granulare Richtlinien und CASB-Lösungen (Cloud Access Security Broker) eingesetzt werden.
Einen ebenso hohen Stellenwert haben regelmäßige Security-Awareness-Trainings. Mitarbeiter sollten erkennen können, wie Pretexting auf Facebook, LinkedIn oder in Messenger-Diensten funktioniert, und konkrete Handlungsanweisungen erhalten – etwa zur Verifikation von Kontakten, zum Melden verdächtiger Anfragen und zum Umgang mit angeblich „dringenden“ oder „vertraulichen“ Dokumenten.
Die beobachtete Aktivität von APT37 zeigt, dass sich Angreifer zunehmend auf die Kombination aus bewährten Schadwerkzeugen wie RokRAT und immer raffinierteren Auslieferungsketten konzentrieren. Organisationen, die Social-Media- und Cloud-Dienste geschäftlich nutzen, sollten ihre Sicherheitsstrategien entsprechend anpassen, Richtlinien für Facebook, Telegram & Co. schärfen und das Monitoring von Endpunkten und Netzwerkverkehr ausbauen. Je höher das Sicherheitsbewusstsein der Anwender und je reifer die Sicherheitsprozesse, desto geringer ist die Wahrscheinlichkeit, dass solche mehrstufigen Spionagekampagnen ihr Ziel erreichen.
