El grupo de hackers norcoreano rastreado como **APT37** (también conocido como ScarCruft) ha sido atribuido a una nueva campaña multietapa de ingeniería social en la que los actores de amenazas se acercaron a objetivos en **Facebook** y los agregaron como amigos en la plataforma de redes sociales, convirtiendo el ejercicio de generación de confianza en un canal de distribución para un troyano de acceso remoto llamado **RokRAT**.  ### Tácticas de Ingeniería Social "El actor de amenazas utilizó dos cuentas de **Facebook** con su ubicación establecida en Pyongyang y Pyongsong, Corea del Norte, para identificar y seleccionar objetivos", dijo el **Genians Security Center** (GSC) en un análisis técnico de la campaña. "Después de generar confianza a través de solicitudes de amistad, el actor trasladó la conversación a Messenger y utilizó temas específicos para atraer a los objetivos como parte de la etapa inicial de ingeniería social del ataque". Central en el ataque es el uso de pretextos, donde los actores de amenazas buscan engañar a usuarios desprevenidos para que instalen un visor de PDF dedicado, afirmando que el software era necesario para abrir documentos militares cifrados. El visor de PDF utilizado en la cadena de infección es una versión manipulada de **Wondershare PDFelement**, que, al ejecutarse, activa la ejecución de shellcode incrustado que permite a los atacantes obtener un punto de apoyo inicial. ### Infraestructura Comprometida y Entrega de Payload Otro aspecto significativo de la campaña es que utiliza infraestructura legítima pero comprometida para el comando y control (C2), armando el sitio web asociado con la filial de Seúl de un servicio japonés de información inmobiliaria para emitir comandos y payloads maliciosos. Además, el payload toma la forma de una imagen JPG aparentemente inofensiva para entregar **RokRAT**. "Esto se evalúa como una estrategia altamente evasiva que combina la manipulación de software legítimo, el abuso de un sitio web legítimo y el enmascaramiento de extensiones de archivo", dijo el **GSC**.  ### Detalles de la Cadena de Ataque En la secuencia de ataque detallada por la empresa surcoreana de ciberseguridad, se encontró que los actores de amenazas crearon dos cuentas de **Facebook** -- "richardmichael0828" y "johnsonsophia0414", ambas creadas el 10 de noviembre de 2025 -- y entregaron un archivo ZIP después de trasladar la conversación a **Telegram**, con el archivo que contiene la versión troyanizada de **Wondershare PDFelement** junto con cuatro documentos PDF y un archivo de texto que contiene instrucciones para instalar el programa para ver los PDF. El shellcode cifrado ejecutado después del lanzamiento del instalador manipulado le permite establecer comunicación con el servidor C2 ("japanroom[.]com") y descargar un payload de segunda etapa, una imagen JPG ("1288247428101.jpg") que luego se utiliza para el payload final de **RokRAT**. ### Capacidades y Técnicas de Evasión de RokRAT El malware, por su parte, abusa de **Zoho WorkDrive** como C2 – una táctica también detallada por **Zscaler ThreatLabz** en febrero de 2026 como parte de una campaña denominada Ruby Jumper – permitiéndole capturar capturas de pantalla, habilitar la ejecución remota de comandos a través de "cmd.exe", recopilar información del host, realizar reconocimiento del sistema y evadir la detección por programas de seguridad como **360 Total Security de Qihoo**, mientras disfraza el tráfico malicioso. "Su funcionalidad central se ha mantenido relativamente estable y se ha reutilizado repetidamente en múltiples operaciones a lo largo del tiempo", dijo el **GSC**. "Esto demuestra que **RokRAT** se ha centrado menos en cambiar su funcionalidad central y más en evolucionar su cadena de entrega, ejecución y evasión".