Cybersecurity-onderzoekers hebben een nieuwe phishing-campagne ontdekt die wordt uitgevoerd door de Noord-Korea-gekoppelde hackgroep genaamd Scarcruft (AKA APT37) om een malware te leveren die bekend staat als Rokrat.
De activiteit is door Seqrite Labs van Codenaam operatie Hankook Phantom, waarin staat dat de aanvallen lijken te richten op personen die zijn geassocieerd met de National Intelligence Research Association, waaronder academische cijfers, voormalige overheidsfunctionarissen en onderzoekers.
“De aanvallers willen waarschijnlijk gevoelige informatie stelen, doorzettingsvermogen vaststellen of spionage uitvoeren,” zei beveiligingsonderzoeker Dixit Panchal in een rapport dat vorige week werd gepubliceerd.
Het uitgangspunt van de aanvalsketen is een speer-phishing-e-mail met een lokmiddel voor “National Intelligence Research Society Nieuwsbrief-Issue 52”, een periodieke nieuwsbrief uitgegeven door een Zuid-Koreaanse onderzoeksgroep gericht op nationale inlichtingen, arbeidsrelaties, veiligheid en energiekwesties.
De digitale missive bevat een ZIP -archiefbijlage die een Windows Shortcut (LNK) bevat die zich bevat als een PDF -document, dat, wanneer geopend, de nieuwsbrief als een lokvogel lanceert terwijl hij Rokrat op de geïnfecteerde host laat vallen.
Rokrat is een bekende malware die is gekoppeld aan APT37, met de tool die systeeminformatie kan verzamelen, willekeurige opdrachten uitvoeren, het bestandssysteem opsommen, screenshots maken en extra payloads downloaden. De verzamelde gegevens worden geëxfiltreerd via Dropbox, Google Cloud, Pcloud en Yandex Cloud.
Seqrite zei dat het een tweede campagne heeft gedetecteerd waarin het LNK -bestand dient als een leiding voor een PowerShell -script dat, naast het laten vallen van een Decoy Microsoft Word -document, een verduisterd Windows -batchscript uitvoert dat verantwoordelijk is voor het implementeren van een druppelaar. Het binair voert vervolgens een payload van de volgende fase uit om gevoelige gegevens van de gecompromitteerde host te stelen, terwijl het netwerkverkeer wordt verberept als een chrome bestandsupload.
Het in dit geval gebruikte kunstaasdocument is een verklaring uitgegeven door Kim Yo Jong, de adjunct -directeur van de publiciteits- en informatieafdeling van de Workers ‘Party of Korea en van 28 juli, die de inspanningen van Seoul bij verzoening afwijst.
“De analyse van deze campagne benadrukt hoe APT37 (Scarcruft/Inkysquid) zeer op maat gemaakte speer-phishing-aanvallen blijft gebruiken, het gebruik van kwaadaardige LNK-laders, Fileless PowerShell-uitvoering en geheime exfiltratiemechanismen,” zei Panchal.
“De aanvallers richten zich specifiek op de Zuid-Koreaanse overheidssectoren, onderzoeksinstellingen en academici met als doel het verzamelen van inlichtingen en langdurige spionage.”
De ontwikkeling komt als cybersecuritybedrijf Qianxin gedetailleerde aanvallen gemonteerd door de beruchte Lazarus Group (AKA Qianxin) met behulp van clickfix-stijl tactieken om werkzoekenden te misleiden om een veronderstelde NVIDIA-gerelateerde update te downloaden om camera- of microfoonproblemen aan te pakken bij het verstrekken van een video-beoordeling. Details van deze activiteit werden eerder bekendgemaakt door Gen Digital eind juli 2025.
De ClickFix-aanval resulteert in de uitvoering van een visuele basisscript dat leidt tot de implementatie van Beavertail, een JavaScript-stealer die ook een op Python gebaseerde achterdeur wordt nagesynchroniseerd, onzichtbaar. Bovendien effenen de aanvallen de weg voor een achterdeur met opdrachtuitvoering en lees-/schrijfmogelijkheden.
De openbaarmaking volgt ook op nieuwe sancties die zijn opgelegd door het Amerikaanse ministerie van Treasury’s Office of Foreign Assets Control (OFAC) tegen twee individuen en twee entiteiten voor hun rol in de Noord -Koreaanse externe informatietechnologie (IT) werknemersschema om illegale inkomsten te genereren voor de wapens van massale vernietiging en ballistische raketprogramma’s van het regime.
De Chollima-groep beschreef in een rapport dat vorige week werd uitgebracht, zijn onderzoek naar een IT-werknemercluster verbonden aan Moonstone Sleet dat het volgt als Babylongroup in verband met een Blockchain Play-to-Earn (P2E) -spel genaamd Defitankland.
Er wordt beoordeeld dat Logan King, de veronderstelde CTO van Defitankland, eigenlijk een Noord -Koreaanse IT -medewerker is, een hypothese die wordt versterkt door het feit dat King’s GitHub -account is gebruikt als referentie door een Oekraïense freelancer en blockchain -ontwikkelaar genaamd “Ivan Kovch.”
“Veel leden hadden eerder gewerkt aan een enorm cryptocurrency-project namens een schaduwrijk bedrijf genaamd ICICB (die volgens ons een front zijn), dat een van de niet-DPRK-leden van het cluster de Chinese Cybercrime Market Freecity runt en een interessant verband tussen Detankzone en een oudere IT-werknemer die eerder opereerde uit Tanzania,” zei de Chollima-groep.
“Hoewel de Defitankland CEO Nabil Amrani eerder met Logan heeft gewerkt aan andere blockchain -projecten, geloven we niet dat hij verantwoordelijk is voor een van de ontwikkeling. Dit betekent allemaal dat het” legitieme “spel achter de Detankzone van Moonstone Sleet in feite werd ontwikkeld door DPRK IT -werkers, alleen om later te worden opgehaald en gebruikt door een Noord -Koreaanse APT -groep.”
