Le groupe de pirates nord-coréen suivi sous le nom d'**APT37** (également connu sous le nom de ScarCruft) est à l'origine d'une nouvelle campagne d'ingénierie sociale à plusieurs étapes. Dans cette campagne, des acteurs malveillants ont approché des cibles sur **Facebook** et les ont ajoutées comme amis sur la plateforme de médias sociaux, transformant ainsi l'exercice d'établissement de confiance en un canal de distribution pour un cheval de Troie d'accès à distance appelé **RokRAT**.  ### Tactiques d'ingénierie sociale « L'acteur de la menace a utilisé deux comptes **Facebook** dont la localisation était définie à Pyongyang et Pyongsong, en Corée du Nord, pour identifier et sélectionner les cibles », a déclaré le **Genians Security Center** (GSC) dans une analyse technique de la campagne. « Après avoir établi une relation de confiance par le biais de demandes d'amis, l'acteur a déplacé la conversation vers Messenger et a utilisé des sujets spécifiques pour attirer les cibles dans le cadre de la première étape d'ingénierie sociale de l'attaque. » Au cœur de l'attaque se trouve l'utilisation du prétexte, où les acteurs de la menace visent à tromper les utilisateurs sans méfiance pour qu'ils installent une visionneuse PDF dédiée, affirmant que le logiciel était nécessaire pour ouvrir des documents militaires cryptés. La visionneuse PDF utilisée dans la chaîne d'infection est une version modifiée de **Wondershare PDFelement**, qui, lorsqu'elle est lancée, déclenche l'exécution d'un shellcode embarqué qui permet aux attaquants d'obtenir un premier point d'ancrage. ### Infrastructure compromise et livraison de la charge utile Un autre aspect significatif de la campagne est qu'elle utilise une infrastructure légitime mais compromise pour le command-and-control (C2), en armant le site web associé à la branche de Séoul d'un service d'information immobilière japonais pour émettre des commandes et des charges utiles malveillantes. De plus, la charge utile prend la forme d'une image JPG apparemment inoffensive pour livrer **RokRAT**. « Ceci est considéré comme une stratégie hautement évasive qui combine la falsification de logiciels légitimes, l'abus d'un site web légitime et le déguisement d'extensions de fichiers », a déclaré le **GSC**.  ### Détails de la chaîne d'attaque Dans la séquence d'attaque détaillée par la société sud-coréenne de cybersécurité, il a été constaté que les acteurs de la menace ont créé deux comptes **Facebook** – "richardmichael0828" et "johnsonsophia0414", tous deux créés le 10 novembre 2025 – et ont livré un fichier ZIP après avoir déplacé la conversation vers **Telegram**, l'archive contenant la version trojanisée de **Wondershare PDFelement** ainsi que quatre documents PDF et un fichier texte contenant des instructions pour installer le programme afin de visualiser les PDF. Le shellcode crypté exécuté après le lancement de l'installateur modifié lui permet d'établir une communication avec le serveur C2 ("japanroom[.]com") et de télécharger une charge utile de second niveau, une image JPG ("1288247428101.jpg") qui est ensuite utilisée pour la charge utile finale **RokRAT**. ### Capacités et techniques d'évasion de RokRAT Le malware, pour sa part, abuse de **Zoho WorkDrive** comme C2 – une tactique également détaillée par **Zscaler ThreatLabz** en février 2026 dans le cadre d'une campagne nommée Ruby Jumper – lui permettant de capturer des captures d'écran, d'activer l'exécution de commandes à distance via "cmd.exe", de collecter des informations sur l'hôte, d'effectuer une reconnaissance système et d'échapper à la détection par des programmes de sécurité comme **360 Total Security** de **Qihoo**, tout en déguisant le trafic malveillant. « Ses fonctionnalités principales sont restées relativement stables et ont été réutilisées à plusieurs reprises au fil du temps dans plusieurs opérations », a déclaré le **GSC**. « Cela montre que **RokRAT** s'est moins concentré sur la modification de ses fonctionnalités principales et davantage sur l'évolution de sa chaîne de livraison, d'exécution et d'évasion. »