Північнокорейська група APT37 (ScarCruft), відома цілеспрямованими кібершпигунськими операціями, розгорнула нову багатоетапну кампанію, у центрі якої — соціальна інженерія в Facebook та прихована доставка трояна RokRAT. Зловмисники вибудовують довіру в соцмережах, переводять спілкування до Messenger і Telegram, а потім переконують жертв установити “спеціальний” PDF‑переглядач, що насправді є ланкою складного ланцюжка інфікування.
APT37 та соціальна інженерія: як вибудовується довіра в Facebook
За даними Genians Security Center (GSC), оператори APT37 використовували принаймні два облікові записи Facebook з вказаним розташуванням у містах Пхеньян та Пхйонсон (КНДР). Облікові записи під іменами «richardmichael0828» та «johnsonsophia0414», створені 10 листопада 2025 року, застосовувалися для пошуку та “підігріву” цілей.
Спочатку жертві надсилали запит у друзі, після чого спілкування переводилося у Facebook Messenger, а далі — у Telegram для обміну файлами. Ключовим елементом було використання прийому pretexting — створення правдоподібної легенди. Атака будувалася на пропозиції нібито зашифрованих військових документів, для перегляду яких “обов’язково потрібен окремий PDF‑переглядач”. Саме цю “утиліту” і пропонували завантажити та встановити.
Ланцюжок зараження: троянізований PDF‑переглядач та шеловий код
Модифікований Wondershare PDFelement як троянський кінь
Насправді запропонований інструмент був модифікованою версією Wondershare PDFelement. У ZIP‑архіві, який надсилали вже через Telegram, містилися: підмінений інсталятор PDFelement, чотири PDF‑файли та текстова інструкція. Формально все виглядало як звичайний пакет документів та переглядача.
Вбудований шеловий код і вихід на C2‑сервер
Після запуску інсталятора активувався зашифрований шеловий код — невеликий фрагмент машинних інструкцій, вбудований у легітимний процес. Він створював початкову точку закріплення у системі та ініціював з’єднання з командно‑контрольним сервером (C2). Далі відбувалося завантаження наступних етапів і підготовка платформи для розгортання RokRAT.
Маскування через легітимну інфраструктуру та JPG‑файли
Одна з ключових особливостей кампанії — зловживання легітимною, але скомпрометованою інфраструктурою. За спостереженнями GSC, роль C2‑вузла виконував домен japanroom[.]com, пов’язаний із корейським представництвом японського сервісу нерухомості. Використання реального бізнес‑сайту ускладнює виявлення атак через репутаційні фільтри та блочні списки.
Другий етап атаки завантажувався у вигляді начебто звичайного JPG‑зображення «1288247428101.jpg». Усередині було приховано код, який перетворював файл‑картинку на контейнер для фінального корисного навантаження — трояна RokRAT. Поєднання маскування під графічний файл, використання зміненого легітимного ПЗ та довіреної веб‑інфраструктури різко знижує ймовірність виявлення класичними антивірусами.
RokRAT і Zoho WorkDrive: стабільний інструмент, нові методи ухилення
Фінальним компонентом атаки є шпіонський троян RokRAT, давно асоційований з APT37. Його ядро майже не змінюється від кампанії до кампанії: він може створювати скріншоти, виконувати довільні команди через cmd.exe, збирати системну інформацію та проводити розвідку всередині мережі жертви. Додатково реалізовано прийоми обходу популярних засобів захисту, зокрема продуктів на кшталт 360 Total Security.
У цій операції RokRAT використовує хмарний сервіс Zoho WorkDrive як канал C2 для передавання даних і отримання команд. Аналогічний підхід раніше описували фахівці Zscaler ThreatLabz у контексті кампанії Ruby Jumper. Зловживання поширеними хмарними платформами дозволяє маскувати шкідливий трафік під легітимний корпоративний обмін файлами, що робить блокування таких з’єднань складним без ризику порушити бізнес‑процеси.
Експерти GSC підкреслюють: замість кардинальної зміни самого RokRAT, APT37 системно еволюціонує ланцюжок доставки та ухилення — додає нові сценарії соціальної інженерії, комбінує троянізацію легітимних програм, стеганографію в зображеннях і легальні C2‑канали.
Як організаціям протидіяти атакам APT37 та подібним загрозам
Розглянута кампанія демонструє, наскільки небезпечними можуть бути Facebook, месенджери та хмарні сервіси для організацій із доступом до чутливої інформації — насамперед оборонних структур, органів влади та науково‑дослідних центрів.
Критично важливо обмежити встановлення ПЗ з неперевірених джерел та впровадити політику allow‑listing (списків дозволених додатків). Співробітники не повинні інсталювати “переглядачі” або будь‑які утиліти за посиланнями з приватних чатів, навіть якщо вони надходять від, на перший погляд, знайомих контактів.
Необхідні й регулярні тренінги із протидії соціальній інженерії з розбором сценаріїв pretexting, фішингу в соцмережах та симульованими тестовими атаками. З технічного боку варто застосовувати EDR‑рішення, що відстежують аномальну поведінку процесів, а також контролювати використання хмарних сервісів, включно з Zoho WorkDrive, на предмет нетипових шаблонів доступу та підозрілих з’єднань.
Додатковий рівень захисту забезпечать чіткі політики щодо використання соціальних мереж та месенджерів на службових пристроях, а також моніторинг мережевого трафіку на наявність нетипових підключень до маловідомих або компрометованих доменів. Чим вище обізнаність користувачів і зрілість процесів кібербезпеки, тим менше шансів, що подібні багатоетапні кібершпигунські атаки досягнуть своєї мети. Організаціям доцільно вже зараз переглянути свої політики безпеки, навчання персоналу та засоби моніторингу, щоби не стати наступною ціллю APT‑груп на кшталт APT37.
