Die nordkoreanische Hacking-Gruppe, die als **APT37** (auch bekannt als ScarCruft) verfolgt wird, wurde einer neuen mehrstufigen Social-Engineering-Kampagne zugeordnet, bei der Bedrohungsakteure Ziele auf **Facebook** ansprachen und sie als Freunde auf der Social-Media-Plattform hinzufügten. Dies verwandelte die Vertrauensbildung in einen Verbreitungskanal für einen Fernzugriffs-Trojaner namens **RokRAT**.  ### Social-Engineering-Taktiken "Der Bedrohungsakteur nutzte zwei **Facebook**-Konten mit dem Standort Nordkorea (Pjöngjang und Pyongsong), um Ziele zu identifizieren und zu screenen", heißt es im technischen Bericht des **Genians Security Center** (GSC) über die Kampagne. "Nachdem Vertrauen durch Freundschaftsanfragen aufgebaut wurde, verlagerte der Akteur die Konversation zu Messenger und nutzte spezifische Themen, um die Ziele als Teil der anfänglichen Social-Engineering-Phase des Angriffs zu ködern." Zentral für den Angriff ist die Verwendung von Vorwänden (Pretexting), bei denen die Bedrohungsakteure versuchen, ahnungslose Benutzer dazu zu bringen, einen speziellen PDF-Viewer zu installieren, und behaupten, die Software sei notwendig, um verschlüsselte Militärdokumente zu öffnen. Der in der Infektionskette verwendete PDF-Viewer ist eine manipulierte Version von **Wondershare PDFelement**, die beim Start die Ausführung von eingebettetem shellcode auslöst, was den Angreifern einen ersten Fußabdruck ermöglicht. ### Kompromittierte Infrastruktur und Payload-Verbreitung Ein weiterer wichtiger Aspekt der Kampagne ist die Nutzung legitimer, aber kompromittierter Infrastruktur für Command-and-Control (C2). Dabei wird die Website, die mit dem Seoul-Arm eines japanischen Immobiliendienstes verbunden ist, zur Ausgabe bösartiger Befehle und Payloads missbraucht. Darüber hinaus nimmt die Payload die Form eines scheinbar harmlosen JPG-Bildes an, um **RokRAT** zu liefern. "Dies wird als eine hochgradig evasive Strategie bewertet, die legitime Software-Manipulation, den Missbrauch einer legitimen Website und die Verschleierung von Dateiendungen kombiniert", so das **GSC**.  ### Details zur Angriffskette In der von der südkoreanischen Cybersicherheitsfirma detaillierten Angriffsequenz wurden die Bedrohungsakteure dabei beobachtet, wie sie zwei **Facebook**-Konten – "richardmichael0828" und "johnsonsophia0414", beide am 10. November 2025 erstellt – anlegten und nach der Verlagerung der Konversation zu **Telegram** eine ZIP-Datei lieferten. Das Archiv enthielt die trojanisierte Version von **Wondershare PDFelement** zusammen mit vier PDF-Dokumenten und einer Textdatei mit Anweisungen zur Installation des Programms, um die PDFs zu öffnen. Der verschlüsselte shellcode, der nach dem Start des manipulierten Installers ausgeführt wird, ermöglicht die Kommunikation mit dem C2-Server ("japanroom[.]com") und den Download einer zweiten Payload, eines JPG-Bildes ("1288247428101.jpg"), das dann zur endgültigen **RokRAT**-Payload verwendet wird. ### RokRATs Fähigkeiten und Evasionstechniken Die Malware missbraucht ihrerseits **Zoho WorkDrive** als C2 – eine Taktik, die auch von **Zscaler ThreatLabz** im Februar 2026 im Rahmen einer Kampagne mit dem Codenamen Ruby Jumper detailliert beschrieben wurde. Dies ermöglicht die Erfassung von Screenshots, die Ausführung von Remote-Befehlen über "cmd.exe", das Sammeln von Host-Informationen, die Durchführung von Systemaufklärungen und die Umgehung von Erkennungsmechanismen durch Sicherheitsprogramme wie **Qihoo's 360 Total Security**, während bösartiger Datenverkehr verschleiert wird. "Seine Kernfunktionalität ist relativ stabil geblieben und wurde über die Zeit hinweg wiederholt in mehreren Operationen verwendet", so das **GSC**. "Dies zeigt, dass **RokRAT** sich weniger auf die Änderung seiner Kernfunktionalität konzentriert hat, sondern vielmehr auf die Weiterentwicklung seiner Verbreitungs-, Ausführungs- und Evasion-Kette."