Um grupo de hackers norte-coreanos conhecido como ScarCruft, também chamado de APT37, foi identificado como responsável por uma complexa campanha de phishing direcionada a acadêmicos, ex-funcionários do governo e pesquisadores na Coreia do Sul. Denominada Operação HanKook Phantom pela empresa de segurança Seqrite Labs, a ofensiva utiliza o malware RokRAT para roubar dados sensíveis e conduzir espionagem contínua, segundo relatório divulgado recentemente.
A operação começa com e-mails de spear-phishing cuidadosamente elaborados, que têm como isca o boletim informativo “National Intelligence Research Society Newsletter – Edição 52”, uma publicação oficial de um grupo de pesquisa sul-coreano focado em inteligência nacional, segurança e questões estratégicas. Esses e-mails carregam um arquivo ZIP contendo um atalho do Windows (LNK), camuflado como um documento PDF. Ao abrir o arquivo, a vítima vê o boletim enquanto o malware RokRAT é instalado silenciosamente em seu dispositivo.
O RokRAT, uma ferramenta conhecida no arsenal do ScarCruft, permite coletar informações do sistema, executar comandos, capturar telas e baixar cargas maliciosas adicionais. Os dados são enviados para serviços legítimos de nuvem, como Dropbox, Google Cloud, pCloud e Yandex Cloud, dificultando a detecção por camuflar o tráfego malicioso.
Além dessa tática, pesquisadores da Seqrite detectaram uma segunda campanha usando o mesmo arquivo LNK para rodar scripts PowerShell. Esses scripts exibem documentos falsos do Microsoft Word, enquanto executam dropper ofuscados que instalam payloads secundários para roubo de informações, mascarando o tráfego de rede como uploads do navegador Chrome.
A isca utilizada nessa segunda campanha é uma declaração oficial da vice-diretora do Departamento de Publicidade e Informação do Partido dos Trabalhadores da Coreia do Norte, Kim Yo Jong, que rejeita tentativas de reconciliação com Seul.
Dixit Panchal, pesquisador da Seqrite Labs, destacou a sofisticação do ScarCruft, que combina spear-phishing personalizado, carregadores LNK maliciosos, execução sem arquivos e exfiltração discreta de dados. Os alvos principais são membros da National Intelligence Research Association, incluindo acadêmicos e ex-funcionários governamentais, com o objetivo de obter inteligência estratégica para operações de espionagem prolongadas.
Paralelamente, a empresa QiAnXin revelou que outro grupo norte-coreano, o Lazarus Group, utiliza táticas chamadas ClickFix para enganar vítimas com falsas atualizações da NVIDIA e instalar o malware BeaverTail, que pode abrir caminho para backdoors como o InvisibleFerret.
Esses ataques evidenciam a crescente sofisticação das operações cibernéticas da Coreia do Norte, que exploram vulnerabilidades e manipulação da confiança dos usuários. A descoberta acontece em meio a novas sanções do Departamento do Tesouro dos EUA contra entidades envolvidas em esquemas de trabalhadores remotos usados para financiar programas militares do regime.
Relatórios adicionais também apontam atividades do grupo Moonstone Sleet, ligado a projetos de blockchain disfarçados como empresas legítimas.
A Operação HanKook Phantom reforça a importância da vigilância constante contra ataques cibernéticos patrocinados por estados, especialmente os que utilizam iscas personalizadas e serviços de nuvem para evitar a detecção. Especialistas recomendam manter sistemas atualizados, evitar abrir anexos suspeitos e implementar soluções avançadas de segurança digital para minimizar riscos.
