Северокорейская хакерская группа APT37 (ScarCruft) развёрнула новую многоэтапную кибершпионскую кампанию, в которой ключевую роль играет социальная инженерия в Facebook. Злоумышленники создавали доверительные отношения с целями через «дружбу» в соцсети, переводили общение в Messenger и мессенджеры, а затем убеждали жертв установить «специальный» PDF‑просмотрщик, в действительности служивший каналом доставки трояна RokRAT.
Социальная инженерия в Facebook: как APT37 выстраивает доверие
По данным Genians Security Center (GSC), операторы APT37 использовали как минимум два аккаунта Facebook с указанным местоположением Пхеньян и Пхёнсон в КНДР для поиска и предварительного отбора жертв. Выбранным пользователям отправлялись запросы на добавление в друзья, после чего переписка переносилась в Facebook Messenger, а затем в Telegram для дальнейшего обмена файлами.
Исследователи зафиксировали профили под именами «richardmichael0828» и «johnsonsophia0414», созданные 10 ноября 2025 года. После налаживания контакта злоумышленники предлагали собеседникам доступ к «зашифрованным военным документам» и убеждали установить отдельную программу‑просмотрщик PDF, якобы необходимую для открытия таких файлов. Это классический приём pretexting — создание правдоподобной легенды, чтобы заставить пользователя выполнить нужное действие.
Многоэтапная схема заражения: поддельный PDF‑просмотрщик и скрытый шеловый код
В действительности «просмотрщик» представлял собой модифицированную версию популярного продукта Wondershare PDFelement. В ZIP‑архив, который жертве отправляли уже через Telegram, входили: троянизированный установщик PDFelement, четыре PDF‑документа и текстовый файл с инструкциями по установке программы для просмотра этих PDF.
После запуска изменённого установщика активировался зашифрованный шеловый код — небольшой фрагмент машинных инструкций, встроенный в легитимный процесс. Этот код устанавливал первоначальную точку опоры в системе и инициировал связь с командным сервером (C2), открывая путь для загрузки следующего этапа атаки и последующей доставки RokRAT.
Злоупотребление легитимной инфраструктурой и маскировка под JPG‑изображения
Одной из ключевых особенностей кампании APT37 стало использование легитимной, но скомпрометированной инфраструктуры в качестве C2. По данным GSC, управляющий сервер размещался на домене japanroom[.]com, связанном с корейским представительством японского сервиса недвижимости. Этот сайт применялся для передачи команд и загрузки вредоносных компонентов, что усложняло детектирование по репутационным признакам.
Второй этап загружался в виде на первый взгляд безобидного JPG‑изображения «1288247428101.jpg». Внутри файла скрывался фрагмент кода, превращающий картинку в контейнер для окончательного полезного груза — трояна RokRAT. Такой подход сочетает несколько техник уклонения от обнаружения: подмену расширения файла, внедрение кода в легитимное ПО и использование доверенной веб‑инфраструктуры.
RokRAT и Zoho WorkDrive: устойчивый набор функций и новая цепочка уклонения
Финальный модуль атаки — шпионский троян RokRAT, давно ассоциируемый с APT37. Его функциональность остаётся относительно стабильной: он умеет делать снимки экрана, выполнять произвольные команды через cmd.exe, собирать системную информацию и проводить разведку в скомпрометированной сети. Также реализованы механизмы обхода антивирусной защиты, в частности продуктов вроде 360 Total Security.
Примечательно, что в этой кампании RokRAT использует облачный сервис Zoho WorkDrive в качестве канала C2 для обмена данными с операторами. Похожую технику уже описывали аналитики Zscaler ThreatLabz в феврале 2026 года в рамках кампании под кодовым названием Ruby Jumper. Злоупотребление популярными облачными платформами позволяет маскировать вредоносный трафик под обычный корпоративный обмен файлами и усложняет его блокировку без риска повредить бизнес‑процессы.
GSC отмечает, что ядро функциональности RokRAT практически не меняется от операции к операции. Вместо этого APT37 активно эволюционирует именно цепочку доставки, исполнения и уклонения: добавляет новые векторы социальной инженерии, комбинирует модификацию легитимного ПО, маскировку под графические файлы и использование законной инфраструктуры C2.
Рекомендации по защите от атак APT37 и подобных кампаний
Описанная кампания демонстрирует, насколько опасной может быть социальная инженерия в Facebook и мессенджерах для организаций, работающих с чувствительной информацией, включая оборонный и государственный сектор. Эффективная защита требует сочетания технических и организационных мер.
Во‑первых, критически важно ограничить установку ПО из неподтверждённых источников и внедрить контроль доверенных приложений (allow‑listing). Пользователи не должны устанавливать «просмотрщики» и другие утилиты по ссылкам, полученным в личной переписке, даже от, казалось бы, знакомых контактов. Во‑вторых, необходимы регулярные тренинги по противодействию социальной инженерии, с отработкой сценариев pretexting и проверкой навыков сотрудников.
Со стороны инфраструктуры имеет смысл применять современные EDR‑решения, отслеживающие аномальное поведение процессов, а также мониторить использование облачных сервисов хранения — в том числе Zoho WorkDrive — на предмет нетипичных шаблонов доступа и подозрительных соединений. Полезным будет и создание специальных политик для работы с социальными сетями и мессенджерами на служебных устройствах.
Наблюдаемая активность APT37 (ScarCruft) показывает устойчивый тренд: сложные группы всё чаще комбинируют проверенные инструменты, такие как RokRAT, с всё более изощрёнными сценариями доставки и маскировки. Организациям стоит пересмотреть свои подходы к работе с Facebook, Telegram и другими коммуникационными каналами, усилить контроль над установкой ПО и уделять особое внимание аномалиям в сетевом трафике. Чем выше осведомлённость пользователей и зрелость процессов кибербезопасности, тем меньше шансов, что подобные многоэтапные атаки достигнут своих целей.
