El grupo norcoreano APT37 (ScarCruft), vinculado históricamente a operaciones de ciberespionaje contra objetivos gubernamentales y del sector defensa, ha puesto en marcha una nueva campaña multietapa en la que la ingeniería social en Facebook es el punto de entrada. A través de perfiles falsos, los atacantes persuaden a las víctimas para instalar un supuesto visor de documentos PDF que, en realidad, sirve como vector para desplegar el conocido troyano de espionaje RokRAT.
Ingeniería social en Facebook: construcción de confianza y pretexting dirigido
Según el Genians Security Center (GSC), los operadores de APT37 emplearon al menos dos cuentas de Facebook con localización declarada en Pyongyang y Pyongsong, en Corea del Norte, para identificar y seleccionar potenciales objetivos. Tras enviar solicitudes de amistad a perfiles de interés, la conversación se trasladaba primero a Facebook Messenger y posteriormente a Telegram, canal que sirve para el intercambio de archivos.
Los investigadores identificaron perfiles bajo los nombres “richardmichael0828” y “johnsonsophia0414”, creados el 10 de noviembre de 2025. Una vez establecida la relación de confianza, los atacantes ofrecían acceso a “documentos militares cifrados” y argumentaban que era necesario instalar un visor PDF especial para poder abrirlos. Este enfoque responde a una táctica clásica de pretexting: construir una historia verosímil que lleve al usuario a ejecutar una acción concreta —en este caso, instalar software malicioso— creyendo que responde a una necesidad legítima.
Cadena de infección multietapa: instalador troyanizado y shellcode cifrado
El supuesto visor era, en realidad, una versión modificada del conocido producto Wondershare PDFelement. A través de Telegram, la víctima recibía un archivo ZIP que incluía el instalador troyanizado de PDFelement, cuatro documentos PDF y un archivo de texto con instrucciones de instalación. Desde la perspectiva del usuario, todo el flujo imita la distribución legítima de un programa de ofimática.
Al ejecutar el instalador alterado se activaba shellcode cifrado, es decir, un pequeño bloque de código en lenguaje máquina incrustado dentro de un proceso aparentemente legítimo. Este componente establecía el primer punto de apoyo en el sistema comprometido, se comunicaba con el servidor de mando y control (C2) y preparaba la descarga de los siguientes módulos, culminando en la entrega del implante principal: RokRAT.
Infraestructura C2 legítima comprometida e imágenes JPG como portadoras de malware
Una característica relevante de esta campaña de APT37 es el abuso de infraestructura legítima comprometida como canal C2. De acuerdo con GSC, el servidor de control se alojaba en el dominio japanroom[.]com, vinculado a la representación en Corea de un servicio japonés de bienes raíces. Utilizar un sitio de confianza como punto de mando dificulta el bloqueo basado en reputación y listas negras tradicionales.
El segundo estadio del ataque se distribuía en forma de un aparente archivo de imagen JPG llamado “1288247428101.jpg”. En su interior se ocultaba código que convertía esa imagen en un contenedor para el payload final, es decir, para RokRAT. Esta técnica combina varias formas de evasión: cambio de extensión, ocultación de código malicioso dentro de archivos aparentemente inofensivos y uso de aplicaciones legítimas como portadoras.
RokRAT y Zoho WorkDrive: espionaje persistente y nuevo canal de mando
El módulo final de la cadena es RokRAT, un troyano de acceso remoto asociado repetidamente con APT37. Su funcionalidad permanece relativamente estable: captura de pantallas, ejecución de comandos arbitrarios a través de cmd.exe, recolección de información del sistema y reconocimiento interno de la red comprometida. Además, incorpora técnicas para evadir soluciones de seguridad, incluidas suites conocidas como 360 Total Security.
Tendencia al uso de servicios en la nube como C2 encubierto
En esta operación, RokRAT utiliza el servicio en la nube Zoho WorkDrive como canal de mando y control para intercambiar datos con los atacantes. Informes de empresas de ciberseguridad ya han documentado campañas similares —como la denominada Ruby Jumper, analizada por Zscaler ThreatLabz— en las que plataformas cloud comerciales se emplean para ocultar tráfico malicioso entre flujos legítimos de colaboración corporativa. De forma comparable, en años anteriores se han observado abusos de servicios como Dropbox, Google Drive u OneDrive para finalidades de C2, consolidando una tendencia clara en las amenazas persistentes avanzadas (APT).
Medidas de protección frente a APT37 y campañas de ciberespionaje similares
El caso de APT37 ilustra cómo la ingeniería social en Facebook y mensajería instantánea puede convertirse en el eslabón más débil para organizaciones que manejan información sensible. Una estrategia defensiva eficaz debe combinar controles técnicos y medidas organizativas. Resulta crítico restringir la instalación de software desde fuentes no verificadas e implantar modelos de allow‑listing o listas de aplicaciones permitidas, reduciendo la superficie de ataque en equipos de trabajo.
En paralelo, es indispensable impartir formación periódica en concienciación de ciberseguridad, con simulaciones de pretexting y ejercicios prácticos que ayuden a empleados y directivos a detectar patrones de engaño en redes sociales. Desde el punto de vista técnico, se recomienda desplegar soluciones EDR capaces de identificar comportamientos anómalos de procesos, así como monitorizar el uso de servicios en la nube —incluido Zoho WorkDrive— para descubrir patrones de acceso inusuales y conexiones sospechosas. El establecimiento de políticas claras sobre el uso de redes sociales y mensajería en dispositivos corporativos, unido a una supervisión proactiva del tráfico de red, aumenta significativamente la capacidad de detección temprana.
La actividad reciente de APT37 (ScarCruft) confirma una tendencia constante: los grupos avanzados tienden a reutilizar herramientas consolidadas como RokRAT, pero renuevan continuamente sus cadenas de entrega, ejecución y ocultación. Las organizaciones que revisen sus controles sobre Facebook, Telegram y otros canales de comunicación, fortalezcan la gestión de software y eleven el nivel de capacitación de sus usuarios estarán mejor preparadas para frustrar este tipo de campañas de ciberespionaje y reducir el impacto de futuras amenazas avanzadas.
