O grupo de hackers norte-coreano rastreado como **APT37** (também conhecido como ScarCruft) foi associado a uma nova campanha de engenharia social em várias etapas, na qual atores de ameaça abordaram alvos no **Facebook** e os adicionaram como amigos na plataforma de mídia social, transformando o exercício de construção de confiança em um canal de entrega para um trojan de acesso remoto chamado **RokRAT**.  ### Táticas de Engenharia Social "O ator de ameaça utilizou duas contas do **Facebook** com sua localização definida para Pyongyang e Pyongsong, Coreia do Norte, para identificar e selecionar alvos", disse o **Genians Security Center** (GSC) em uma análise técnica da campanha. "Após construir confiança através de solicitações de amizade, o ator moveu a conversa para o Messenger e usou tópicos específicos para atrair alvos como parte da fase inicial de engenharia social do ataque." Central para o ataque é o uso de pretexting, onde os atores de ameaça visam enganar usuários desavisados a instalar um visualizador de PDF dedicado, alegando que o software era necessário para abrir documentos militares criptografados. O visualizador de PDF usado na cadeia de infecção é uma versão adulterada do **Wondershare PDFelement**, que, quando executado, aciona a execução de shellcode embutido que permite aos atacantes obter um ponto de apoio inicial. ### Infraestrutura Comprometida e Entrega de Payload Outro aspecto significativo da campanha é que ela utiliza infraestrutura legítima, mas comprometida, para comando e controle (C2), armando o site associado ao braço de Seul de um serviço japonês de informações imobiliárias para emitir comandos maliciosos e payloads. Além disso, o payload assume a forma de uma imagem JPG aparentemente inofensiva para entregar o **RokRAT**. "Isso é avaliado como uma estratégia altamente evasiva que combina adulteração de software legítimo, abuso de um site legítimo e disfarce de extensão de arquivo", disse o **GSC**.  ### Detalhes da Cadeia de Ataque Na sequência de ataque detalhada pela empresa sul-coreana de cibersegurança, descobriu-se que os atores de ameaça criaram duas contas do **Facebook** -- "richardmichael0828" e "johnsonsophia0414", ambas criadas em 10 de novembro de 2025 -- e entregaram um arquivo ZIP após mover a conversa para o **Telegram**, com o arquivo contendo a versão trojanizada do **Wondershare PDFelement** juntamente com quatro documentos PDF e um arquivo de texto contendo instruções para instalar o programa para visualizar os PDFs. O shellcode criptografado executado após o lançamento do instalador adulterado permite que ele estabeleça comunicação com o servidor C2 ("japanroom[.]com") e baixe um payload de segunda etapa, uma imagem JPG ("1288247428101.jpg") que é então usada para o payload final do **RokRAT**. ### Capacidades e Técnicas de Evasão do RokRAT O malware, por sua vez, abusa do **Zoho WorkDrive** como C2 – uma tática também detalhada pelo **Zscaler ThreatLabz** em fevereiro de 2026 como parte de uma campanha codinome Ruby Jumper – permitindo capturar screenshots, habilitar a execução remota de comandos via "cmd.exe", coletar informações do host, realizar reconhecimento do sistema e evadir a detecção por programas de segurança como o **360 Total Security** da **Qihoo**, enquanto disfarça o tráfego malicioso. "Sua funcionalidade principal permaneceu relativamente estável e tem sido reutilizada repetidamente em múltiplas operações ao longo do tempo", disse o **GSC**. "Isso mostra que o **RokRAT** tem focado menos em mudar sua funcionalidade principal e mais em evoluir sua cadeia de entrega, execução e evasão."