Uma campanha recente atribuída ao grupo norte-coreano conhecido como APT37 (também chamado ScarCruft) volta a colocar sobre a mesa como os atacantes combinam engenharia social clássica com técnicas técnicas cada vez mais sofisticadas para introduzir malware em redes e dispositivos. Segundo uma análise técnica publicada pela assinatura sul-coreana Genians, os operadores usaram contas do Facebook para criar uma relação de confiança com suas vítimas e converter essa interação na via de entrega de um troiano de acesso remoto conhecido como RokRAT. Você pode consultar a empresa por trás da análise em seu site oficial: Genians Security Center.
O mecanismo de entrada não foi um exploit direto nem um e-mail em massa, mas algo mais social e dirigido: os atacantes criaram perfis falsos que fingiam proximidade e temas de interesse com as vítimas, e depois mudaram a conversa para aplicativos de mensagens privadas onde resultou mais fácil trocar arquivos. A tática de construir uma história credível – o que em cibersegurança se chama pretexting – permitiu convencer os objetivos de que instalariam um visualizador de PDF supostamente necessário para abrir documentos militares criptografados. Na verdade, esse “visor” era uma versão manipulada de software legítimo.
A peça que abria a porta técnica ao compromisso era um instalador cortado de um programa real para ler e editar PDFs. Neste caso, tratou-se de uma variante adulterada de Wondershare PDFelement, um pacote comercial conhecido que a vítima perceberia como inocuo. O instalador modificado executava código malicioso incorporado ao iniciar-se, o que proporcionou aos atacantes um primeiro acesso persistente na máquina afetada. Se você quer ver o software legítimo mencionado, está disponível na web oficial: Wondershare PDFelement.
Uma curiosidade técnica da campanha é o uso deliberado de infraestrutura legítima comprometida para lidar com o canal de comando e controle (C2). De acordo com a pesquisa, os operadores aproveitaram um site real associado a um serviço de informação imobiliária para emitir instruções e baixar cargas úteis adicionais. Além disso, a segunda etapa da cadeia de infecção não chegou como executável convencional, mas camuflada em um arquivo JPG que continha a carga final de RokRAT. Esta estratégia aproveita a confiança em recursos legítimos e a camuflagem de extensões para dificultar a detecção automática.
RokRAT não é novidade nos arsenais de atores norte-coreanos e já foi observado em operações anteriores. Pesquisadores externos documentaram como esse tipo de malware reutiliza capacidades centrais, mas modifica continuamente seus métodos de entrega e evasão. Em campanhas anteriores, foi descrito que o malware usa serviços legítimos na nuvem como canais para ocultar seu tráfego de controle, algo que ajuda a esquivar controles tradicionais. Um exemplo detalhado de uso de serviços na nuvem como vetor de C2 foi documentado por Zscaler ThreatLabz em uma pesquisa publicada em 2026, que analisou técnicas similares e destacou o uso de plataformas legítimas para camuflar comunicações maliciosas; você pode revisar o arquivo de pesquisas de Zscaler aqui: Zscaler ThreatLabz.
Do ponto de vista operacional, os atacantes seguiram um fluxo deliberado: identificação e rastreio de objetivos através de perfis com geolocalização falsa, estabelecimento de confiança por mensagens, entrega de um arquivo comprimido (ZIP) com instruções e instalador manipulado, execução do código incorporado que conta com o servidor de C2 e, finalmente, descarga da carga útil final mascarada como imagem. A persistência e as capacidades do troiano incluem captura de tela, execução remota de comandos (por exemplo, usando cmd.exe), coleta de informações do sistema e técnicas para tentar evitar certos produtos de segurança que possam estar no endpoint. Para dar contexto sobre a popularidade de algumas soluções e sua presença no mercado, Qihoo 360 oferece um produto conhecido como 360 Total Security: 360 Total Security, embora os atacantes sempre testem formas de burlar defesas concretas.
Este incidente volta a ilustrar várias lições importantes. Primeiro, usar software legítimo como senheiro obriga organizações e usuários a desconfiar mesmo de instaladores que parecem vir de marcas conhecidas. Segundo, o abuso de infra-estruturas legítimas (sites web comprometidos ou serviços na nuvem) complica a detecção, porque o tráfego de rede pode parecer normal. E terceiro, os atacantes enfatizam a fase humana do ataque: sem o engano inicial não haveria execução do código final.
Para minimizar o risco é recomendável implantar controles técnicos e educacionais: verificar sempre a procedência de arquivos e links, preferir canais de distribuição oficiais para o software, manter os sistemas atualizados e limitar a execução automática de instaladores recebidos por mensagens. Em ambientes corporativos, a segmentação de rede, a inspeção de tráfego saliente e o bloqueio de arquivos com extensões suspeitas podem reduzir o alcance de uma infecção. Também é importante detectar e monitorar comportamentos anormais, como processos que tomam capturas de tela ou invocações incomuns de cmd.exe, e contar com procedimentos claros para isolar equipamentos comprometidos e realizar uma análise forense.
Se você se interessar por aprofundar o fenômeno de atacantes que se fazem passar por atores credíveis e nas ferramentas que empregam, as páginas de fornecedores e centros de pesquisa publicam análises e guias úteis. Além dos links já citados, plataformas de armazenamento e colaboração na nuvem como Zoho WorkDrive Às vezes são aproveitadas por atores maliciosos, pelo que seu uso em um contexto de C2 merece atenção por parte de equipes de segurança.
Em suma, o que destaca desta operação atribuída a APT37 não é tanto a novidade do malware, mas a refinada mistura de engano humano, manipulação de software legítimo e abuso de infraestrutura confiável. Essa combinação faz com que as defesas reativas sejam insuficientes: a melhor resposta é uma política que uma tecnologia precisa com formação contínua e procedimentos que dificultem o primeiro clique que abre a porta ao atacante.
Alerta de segurança Drupal vulnerabilidade crítica de injeção SQL em PostgreSQL obriga a atualizar imediatamente
Drupal publicou atualizações de segurança para uma vulnerabilidade qualificada como "altamente crítica" que afeta o Drupal Core e permite a um atacante conseguir injeção SQL arb...
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...