Il gruppo di cybercriminali nordcoreani ScarCruft, noto anche come APT37, è protagonista di una nuova ondata di attacchi mirati contro accademici e ricercatori sudcoreani, utilizzando il malware RokRAT nell’ambito della campagna denominata Operation HanKook Phantom. Secondo le ricerche di Seqrite Labs, le vittime prese di mira includono membri dell’Associazione Nazionale di Ricerca sull’Intelligence, ex funzionari governativi e figure accademiche legate a settori strategici come sicurezza, rapporti di lavoro ed energia.

Attacco tramite spear phishing e RokRAT

L’attacco si sviluppa tramite email di spear phishing che simulano l’invio di una newsletter ufficiale, allegando un archivio ZIP contenente un collegamento Windows LNK camuffato da file PDF. Se aperto, il file attiva la visualizzazione di un documento esca mentre in background installa il malware RokRAT sul sistema compromesso. RokRAT è un malware avanzato che consente di eseguire comandi arbitrari, raccogliere informazioni di sistema, esplorare file, realizzare screenshot e scaricare ulteriori payload. I dati trafugati vengono poi esfiltrati tramite servizi cloud come Dropbox, Google Cloud, pCloud e Yandex Cloud, rendendo difficile il rilevamento delle attività malevole.

Variante della campagna e tecniche di offuscamento

In una variante della campagna, il file LNK lancia uno script PowerShell che, oltre a mostrare un documento Word come diversivo, attiva uno script batch offuscato per installare un dropper. Questo permette l’esecuzione di un payload successivo con il compito di sottrarre informazioni sensibili, mascherando il traffico di rete come caricamento di file tramite Chrome.

Il documento esca utilizzato in questa variante è una dichiarazione ufficiale della vice direttrice del Dipartimento Informazione del Partito dei Lavoratori nordcoreano che respinge le aperture di dialogo di Seul, a dimostrazione della capacità del gruppo di utilizzare contenuti attuali e mirati per aumentare l’efficacia delle campagne di phishing.

Tecniche avanzate e obiettivi degli attacchi

Questi attacchi confermano la strategia di APT37 di adottare tecniche sofisticate come spear phishing su misura, loader LNK malevoli, esecuzione PowerShell fileless e meccanismi di esfiltrazione nascosti. L’obiettivo principale resta la raccolta di informazioni di intelligence e lo spionaggio a lungo termine di istituzioni governative, accademici e centri di ricerca sudcoreani.

La scoperta avviene in un contesto di crescente pressione internazionale sulla Corea del Nord, tra nuove sanzioni statunitensi e altre campagne malevole attribuite a gruppi come Lazarus, che sfruttano anche tematiche blockchain e job scam per veicolare malware e raccogliere fondi illeciti per il programma militare del regime.