Hackerii nord-coreeni APT37 utilizează un nou malware pentru a pătrunde în rețelele izolate

Hackerii nord-coreeni utilizează instrumente noi pentru a transfera date între sistemele conectate la internet și cele izolate, pentru a le răspândi prin intermediul unităților de stocare detașabile și pentru a efectua supravegherea secretă.

Campania de spionaj cibernetic a fost denumită Ruby Jumper și este atribuită grupului APT37, susținut de statul nord-coreean, cunoscut și sub numele de ScarCruft, Ricochet Chollima și InkySquid.

APT37 are cu un istoric de atacuri asupra entităților guvernamentale, organizațiilor de apărare și persoanelor legate de interesele statului din Coreea de Nord.

Grupul a lansat o nouă campanie sofisticată, utilizând un set nou de instrumente malware personalizate, special concepute pentru a ajunge la computerele care nu sunt conectate la internet, potrivit Cyber Security News(1). Sistemele care nu sunt conectate la internet, numite și air-gapped, sunt sisteme considerate de mult timp printre cele mai sigure din lume.

Setul de instrumente folosit în campania Ruby Jumper

Campania, denumită Ruby Jumper, marchează o escaladare bruscă a capacităților grupului și relevă modul în care hackerii susținuți de stat găsesc modalități inteligente de a ocoli măsurile de securitate fizică pe care organizațiile se bazează pentru a-și proteja datele cele mai sensibile.

Timp de ani de zile, grupul s-a bazat pe o familie de malware numită Chinotto pentru a desfășura activități de spionaj și furt de date.

Campania Ruby Jumper introduce însă un set de instrumente complet nou, cu cinci componente malware nedocumentate anterior, numite RESTLEAF, SNAKEDROPPER, THUMBSBD, VIRUSTASK și FOOTWINE, fiecare fiind concepută pentru a juca un rol specific într-un lanț de atacuri în mai multe etape, care în final plasează instrumente de supraveghere pe mașini izolate, fără conexiune la internet.

Analiștii Zscaler ThreatLabz(2) au identificat campania în decembrie 2025, descoperind modul în care grupul a construit în secret un lanț de infecții capabil să treacă peste limitele rețelei pe care nicio conexiune la internet nu le poate traversa.

Atacul începe în mod înșelător de simplu cu un fișier shortcut (scurtătură) Windows (LNK) rău intenționat care, odată deschis de victimă, descarcă și execută în mod silențios o serie de atacuri cibernetice în fundal.

Momeala prezentată victimei este un document despre conflictul palestiniano-israelian, tradus din mass-media nord-coreeană în limba arabă, sugerând că țintele grupului includ persoane vorbitoare de limbă arabă, interesate de narațiunile nord-coreene, în concordanță cu victimologia cunoscută a APT37.

Lanțul complet al atacului pornește de la acest fișier LNK, trece prin RESTLEAF ca descărcător de fișiere de primă etapă, apoi la SNAKEDROPPER pentru livrarea unui malware în a doua etapă, apoi la THUMBSBD și VIRUSTASK pentru conectarea gazdelor izolate prin intermediul unor suporturi detașabile, cum ar fi un stick USB  și, în final, la BLUELIGHT și FOOTWINE pentru supraveghere completă.

Amploarea acestei campanii este remarcabilă odată ce un stick USB de exemplu, este utilizată atât pe un computer conectat la internet, cât și pe un computer izolat, malware-ul are o cale de acces în sisteme care nu au fost niciodată destinate să intre în contact cu lumea exterioară.

Serviciile cloud, inclusiv Zoho WorkDrive, Microsoft OneDrive, Google Drive și pCloud, sunt utilizate în mod abuziv ca infrastructură de comandă și control (C2), făcând ca traficul rău intenționat să se amestece cu activitatea obișnuită a companiei.

Cum se desfășoară atacul asupra sistemelor izolate

Cea mai impresionantă componentă din punct de vedere tehnic a campaniei Ruby Jumper este THUMBSBD, o ușă ascunsă care transformă mediile de stocare mobile obișnuite într-un canal de comunicare bidirecțional secret între sistemele conectate la internet și cele izolate, fără conexiune la internet.

Când o unitate USB sau un dispozitiv similar este conectat la un computer infectat conectat la internet, THUMBSBD copiază fișierele de comandă pregătite într-un director ascuns $RECYCLE.BIN de pe unitate, o locație care este invizibilă în setările implicite ale Windows Explorer. Când aceeași unitate este conectată la un computer izolat care rulează implantul THUMBSBD, malware-ul citește acele fișiere ascunse, le decriptează cu o cheie relativ simplă și execută comenzile operatorului de la sustragerea fișierelor și recunoașterea sistemului până la executarea arbitrară a comenzilor.

Alături de THUMBSBD funcționează VIRUSTASK, care asigură răspândirea infecției înlocuind fișierele legitime ale victimei de pe unitatea de stocare mobilă cu scurtături LNK compromise care poartă aceleași nume de fișiere.

Când un utilizator neavizat de pe un computer nou face clic pe ceea ce pare a fi propriul său fișier, acesta lansează fără să știe mediul de execuție bazat pe limbajul de programare Ruby al malware-ului, infectând noua gazdă.

SNAKEDROPPER susține acest lucru deghizând un mediu de execuție Ruby 3.3.0 complet ca un utilitar de viteză USB numit usbspeed.exe și creând o sarcină programată numită rubyupdatecheck care rulează la fiecare cinci minute pentru a menține persistența conexiunii.

Încărcătura finală, FOOTWINE, oferă capacități de spionaj și supraveghere, inclusiv keylogging (înregistrarea tastelor apăsate de utilizator), captură audio, captură video și acces complet la shell printr-un canal criptat, utilizând un protocol personalizat de schimb de chei bazat pe XOR.

Un alt malware observat în campania RubyJumper a APT37 este BLUELIGHT, un backdoor complet asociat anterior cu grupul nord-coreean.

Zscaler are o încredere ridicată în atribuirea campaniei RubyJumper către APT37 pe baza mai multor indicatori, inclusiv utilizarea malware-ului BLUELIGHT, vectorul inițial bazat pe fișiere LNK, tehnica de livrare a codului shell în două etape și infrastructura de comandă și control observată de obicei în atacurile acestui grup de infractori cibernetici.

Cercetătorii notează, de asemenea, că documentul momeală indică faptul că ținta activității RubyJumper este interesată de narațiunile mass-media nord-coreene, ceea ce se aliniază cu profilul victimelor grupului.

Măsuri recomandate

Cercetătorii recomandă o serie de măsuri pentru echipele și organizațiile de securitate, în special cele care gestionează medii izolate, ca răspuns la această campanie.

Printre aceste se află monitorizarea sarcinilor programate cu nume neobișnuite, cum ar fi rubyupdatecheck, și auditarea tuturor sarcinilor programate nou create pe terminalele finale.

Verificarea accesului la stocarea în cloud de pe terminalele finale, deoarece campania abuzează de Zoho WorkDrive, OneDrive, Google Drive și pCloud pentru comunicații de comandă și control.

Inspectarea fișierelor LNK din atașamentele de e-mail și conținutul descărcat online, deoarece APT37 utilizează în mod constant fișiere shortcut (de scurtătură) rău intenționate ca prim punct de intrare.

Căutarea indicatorilor de compromitere, inclusiv căile de fișiere %PROGRAMDATA%\usbspeed, cheia de registru HKCU\SOFTWARE\Microsoft\TnGtp și directoarele ascunse $RECYCLE.BIN sau $RECYCLE.BIN.USER de pe unitățile de stocare mobile.

Monitorizarea activității terminalelor și punctele de acces fizic pentru a contracara această amenințare, conform recomandărilor ThreatLabz în urma investigației sale.

Sursa: Cyber Security News, ZScaler.com